Mattermost 伺服器10.11.x< 10.11.16 / 11.5.x < 11.5.5 / 11.6.x <11.6.2多個漏洞 (MMSA-2026-00616 / MMSA-2026-00649 / MMSA-2026-00661MMSA-2026-00662MMSA-2026-00655MMSA-2026-00656 ) MMSA-2026-00665

high Nessus Plugin ID 321514

概要

遠端主機受多個弱點影響。

說明

遠端主機上安裝的 Mattermost 伺服器版本受到多個漏洞的影響:

- 在群組可同步連結和修補程式端點上設定scheme_admin標誌時,Mattermost 不需要角色管理授權,這允許具有群組連結權限的使用者透過特製的 API 請求將自己和群組成員升級為團隊或頻道管理員。(CVE-2026-7387)

- 在共用通道檔案同步期間,Mattermost 無法清理從同盟對等體收到的 FileInfo.Name,這允許控制同盟伺服器的攻擊者透過檔案名稱欄位中的路徑遊走序列將檔案寫入目標伺服器檔案儲存區內的任意位置。(CVE-2026-6961)

- Mattermost 在修補受保護的預設系統角色時不需要系統層級權限,這允許具有委派使用者管理權限的經過驗證的使用者透過角色修補程式 API 更改內建角色權限來提升權限。(CVE-2026-6739)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Mattermost Server 10.11.16、11.5.5、11.6.2、11.7.0 或更新版本。

另請參閱

https://mattermost.com/security-updates/

Plugin 詳細資訊

嚴重性: High

ID: 321514

檔案名稱: mattermost_server_MMSA-2026-00616_00649_00655_00656_00661_00662_00665.nasl

版本: 1.4

類型: Remote

系列: CGI abuses

已發布: 2026/6/18

已更新: 2026/6/24

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.9

百分位: 57.96

CVSS v2

風險因素: High

基本分數: 9

時間性分數: 6.7

媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2026-7387

CVSS v3

風險因素: High

基本分數: 7.2

時間性分數: 6.3

媒介: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2026-6739

弱點資訊

CPE: cpe:/a:mattermost:mattermost_server

必要的 KB 項目: installed_sw/Mattermost Server

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2026/5/13

弱點發布日期: 2026/6/12

參考資訊

CVE: CVE-2026-3433, CVE-2026-6046, CVE-2026-6689, CVE-2026-6739, CVE-2026-6961, CVE-2026-7184, CVE-2026-7387

IAVA: 2026-A-0604