Mattermost Server 10.11.x <= 10.11.13 / 11.3.x < 11.3.3 / 11.4.x < 11.4.3 / 11.5.x < 11.5.1 / 11.6.0 複数の脆弱性MMSA-2026-00624 / MMSA-2026-00625]
high Nessus プラグイン ID 310112
Language:
概要
リモートホストは、複数の脆弱性の影響を受けます。説明
リモートホストにインストールされているMattermost Serverのバージョンは、複数の脆弱性の影響を受けます- Mattermost バージョン 10.11.x <= 10.11.12、 11.5.x <= 11.5.0、 11.4.x <= 11.4.2、 11.3.x <= 11.3.2 は、ゲストマジックリンクトークンのアトミックシングル使用を強制することに失敗します。これにより、攻撃者はアクセス権を取得できます。有効なマジックリンクに、同時リクエストを介して複数の独立した認証されたセッションを確立する可能性があります。
Mattermost アドバイザリ ID MMSA-2026-00624。CVE-2026-3590
- Mattermost バージョン 10.11.x <= 10.11.12、 11.5.x <= 11.5.0、 11.4.x <= 11.4.2、 11.3.x <= 11.3.2 は、認証エンドポイントの CSRF トークンの検証に失敗します。これにより、攻撃者がユーザーの認証メソッドを更新する可能性があります。ユーザーを騙して悪意のあるページにアクセスさせることによる CSRF 攻撃。Mattermost アドバイザリ ID MMSA-2026-00625。CVE-2026-28741
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Mattermost Server バージョン 10.11.13、11.3.3、11.4.3、11.5.1、11.6.0 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: High
ID: 310112
ファイル名: mattermost_server_MMSA-2026-00624_MMSA-2026-00625.nasl
バージョン: 1.2
タイプ: Remote
ファミリー: CGI abuses
公開日: 2026/4/24
更新日: 2026/4/27
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.0
CVSS v2
リスクファクター: High
基本値: 9.4
現状値: 7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N
CVSS スコアのソース: CVE-2026-28741
CVSS v3
リスクファクター: High
基本値: 8.1
現状値: 7.1
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:mattermost:mattermost_server
必要な KB アイテム: installed_sw/Mattermost Server
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/3/16
脆弱性公開日: 2026/4/15
参照情報
CVE: CVE-2026-28741, CVE-2026-3590
IAVA: 2026-A-0365