anonhaven

CVE-2026-3590

MEDIUM CVSS 3.1: 6,5
Обновлено 17 апреля 2026
Mattermost
Параметр Значение
CVSS 6,5 (MEDIUM)
Тип уязвимости CWE-367 (Гонка проверки и использования (TOCTOU))
Поставщик Mattermost
Публичный эксплойт Нет

Наиболее важные версии 10.11.x <= 10.11.12, 11.5.x <= 11.5.0, 11.4.x <= 11.4.2, 11.3.x <= 11.3.2 не обеспечивают атомарное одноразовое использование токенов гостевой магической ссылки, что позволяет злоумышленнику, имеющему доступ к действующей магической ссылке, устанавливать несколько независимых аутентифицированных сеансов посредством одновременных запросов. Идентификатор Mattermost Advisory: MMSA-2026-00624

Показать оригинальное описание (EN)

Mattermost versions 10.11.x <= 10.11.12, 11.5.x <= 11.5.0, 11.4.x <= 11.4.2, 11.3.x <= 11.3.2 fail to enforce atomic single-use consumption of guest magic link tokens, which allows an attacker with access to a valid magic link to establish multiple independent authenticated sessions via concurrent requests.. Mattermost Advisory ID: MMSA-2026-00624

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-367 Time-of-check Time-of-use (TOCTOU) (Гонка проверки и использования (TOCTOU))

Ссылки 1

https://mattermost.com/security-updates
responsibledisclosure@mattermost.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-28741

Mattermost

6,8

CVE-2026-27769

Mattermost

2,7

CVE-2026-24661

Mattermost

6,5

CVE-2026-21388

Mattermost

6,5

CVE-2026-3524

Mattermost

8,8