最重要的服务器 10.11.x <= 10.11.13 / 11.5.x <= 11.5.1 多个漏洞 (MMSA-2026-00570 / MMSA-2026-00575 / MMSA-2026-00582 / MMSA-2026-00622)
medium Nessus 插件 ID 316489
语言:
简介
远程主机受到多个漏洞影响。描述
远程主机上安装的 Mattermost Server 版本受到多个漏洞的影响:- 构造自定义斜线命令的响应 URL 时,Mattermost 无法验证主机标头,其允许经身份验证的攻击者通过伪造的主机标头,将斜杠命令响应重定向到受攻击者控制的服务器。最重要的公告 ID: MMSA-2026-00582.(CVE-2026-6333)
- Mattermost 在错误页面编辑器编写期间无法转义某些可能含有恶意内容的变量,允许有权编辑某些站点配置的攻击者通过注入一些 JS 作为这些值的一部分来执行一些恶意代码。最重要的公告 ID: MMSA-2026-00622.
(CVE-2026-3495)
- Mattermost 在远程群集邀请确认期间无法验证 RefreshedToken 是否与原始邀请令牌不同,从而允许经认证的攻击者通过发送具有与原始令牌匹配的 RefreshedToken 的特制邀请确认来绕过令牌轮换并重用原始邀请令牌。最重要的公告 ID: MMSA-2026-00575.(CVE-2026-4273)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 Mattermost Server 10.11.14、11.5.2、11.6.0 或更高版本。另见
插件详情
严重性: Medium
ID: 316489
文件名: mattermost_server_MMSA-2026-00570_00575_00582_00622.nasl
版本: 1.3
类型: Remote
系列: CGI abuses
发布时间: 2026/5/22
最近更新时间: 2026/6/2
支持的传感器: Nessus
风险信息
VPR
风险因素: Low
分数: 3.8
CVSS v2
风险因素: Medium
基本分数: 4.7
时间分数: 3.5
矢量: CVSS2#AV:N/AC:L/Au:M/C:P/I:P/A:N
CVSS 分数来源: CVE-2026-6334
CVSS v3
风险因素: Medium
基本分数: 5
时间分数: 4.4
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS 分数来源: CVE-2026-6333
漏洞信息
CPE: cpe:/a:mattermost:mattermost_server
必需的 KB 项: installed_sw/Mattermost Server
易利用性: No known exploits are available
补丁发布日期: 2026/4/15
漏洞发布日期: 2026/4/15
参考资料信息
CVE: CVE-2026-3495, CVE-2026-4273, CVE-2026-6333, CVE-2026-6334
IAVA: 2026-A-0492