Plataforma
mattermost
Componente
mattermost
Corrigido em
10.11.13
11.5.1
11.4.3
11.3.3
8.0.0-20250723052842-4cb8d8940332
A vulnerabilidade CVE-2026-3590 é uma Race Condition identificada no Mattermost, que permite a um atacante com acesso a um magic link válido estabelecer múltiplas sessões autenticadas independentes através de requisições concorrentes. Essa falha ocorre devido à falta de imposição do consumo único e atômico dos tokens de magic link. As versões afetadas incluem 10.11.x <= 10.11.12, 11.5.x <= 11.5.0, 11.4.x <= 11.4.2 e 11.3.x <= 11.3.2. Uma correção foi lançada na versão 11.6.1.
A vulnerabilidade CVE-2026-3590 no Mattermost permite que um atacante com acesso a um link mágico de convidado válido estabeleça múltiplas sessões autenticadas independentes por meio de solicitações concorrentes. Isso ocorre porque as versões afetadas (10.11.x <= 10.11.12, 11.5.x <= 11.5.0, 11.4.x <= 11.4.2, 11.3.x <= 11.3.2) não impõem o consumo atômico de uso único desses tokens. Um atacante poderia, por exemplo, usar um script para gerar múltiplas solicitações com o mesmo link mágico, alcançando assim múltiplos logins sob a mesma identidade de convidado. Isso compromete a segurança das contas de convidado e pode permitir o acesso não autorizado a informações confidenciais dentro da instância do Mattermost.
A exploração desta vulnerabilidade requer acesso a um link mágico de convidado válido. Esses links são normalmente gerados quando um usuário convidado é convidado para participar de uma equipe ou canal. Um atacante pode obter um link mágico de convidado por meio de engenharia social, vazamentos de dados ou se um usuário legítimo compartilhar acidentalmente o link. A facilidade de gerar múltiplas solicitações concorrentes torna esta vulnerabilidade relativamente fácil de explorar, especialmente para atacantes com habilidades técnicas básicas.
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar para a versão 11.6.1 ou superior do Mattermost. Esta versão corrige o problema, garantindo que cada link mágico de convidado seja consumido apenas uma vez. Se uma atualização imediata não for possível, recomendamos revisar as políticas de segurança do Mattermost e considerar a implementação de medidas de segurança adicionais, como limitar a duração dos links mágicos e monitorar a atividade incomum das contas de convidado. O Mattermost Advisory ID: MMSA-2026-00624 fornece informações adicionais sobre a vulnerabilidade e a correção.
Actualice Mattermost a la versión 11.6.1 o superior, 10.11.13 o superior, 11.3.3 o superior, 11.4.3 o superior, o 11.5.1 o superior para mitigar la vulnerabilidad. Esta actualización corrige la condición de carrera que permite el uso repetido de tokens de enlace mágico para invitados, previniendo la creación de múltiples sesiones autenticadas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um link mágico de convidado é um link temporário que permite a um usuário participar de uma equipe ou canal no Mattermost sem precisar criar uma conta. É comumente usado para fornecer acesso temporário a convidados externos.
Se você estiver usando uma versão do Mattermost anterior à 11.6.1 e estiver usando uma das versões afetadas (10.11.x <= 10.11.12, 11.5.x <= 11.5.0, 11.4.x <= 11.4.2, 11.3.x <= 11.3.2), sua instância é vulnerável.
Atualize imediatamente para a versão mais recente do Mattermost. Revise os logs de auditoria em busca de qualquer atividade incomum. Considere revogar todos os links mágicos de convidado existentes.
Embora não seja uma solução completa, você pode limitar a duração dos links mágicos de convidado e monitorar a atividade incomum das contas de convidado.
Consulte o Mattermost Advisory ID: MMSA-2026-00624 no site do Mattermost para obter informações mais detalhadas.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.