Версии Mattermost 10.11.x <= 10.11.10 Невозможно аннулировать кэшированные данные предварительного просмотра постоянной ссылки, когда пользователь теряет доступ к каналу, что позволяет пользователю продолжать просмотр содержимого частного канала через ранее кэшированные предварительные просмотры постоянных ссылок до сброса кэша или повторного входа в систему. Идентификатор Mattermost Advisory: MMSA-2026-00580
Показать оригинальное описание (EN)
Mattermost versions 10.11.x <= 10.11.10 Fail to invalidate cached permalink preview data when a user loses channel access which allows the user to continue viewing private channel content via previously cached permalink previews until cache reset or relogin.. Mattermost Advisory ID: MMSA-2026-00580
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Mattermost Mattermost_Server
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*
|
10.11.0
|
10.11.11
|