远程主机上安装的 Mattermost Server 版本受到多个漏洞的影响：

  - 构造自定义斜线命令的响应 URL 时，Mattermost 无法验证主机标头，其允许经身份验证的攻击者通过伪造的主机标头，将斜杠命令响应重定向到受攻击者控制的服务器。最重要的公告 ID： MMSA-2026-00582.（CVE-2026-6333）

  - Mattermost 在错误页面编辑器编写期间无法转义某些可能含有恶意内容的变量，允许有权编辑某些站点配置的攻击者通过注入一些 JS 作为这些值的一部分来执行一些恶意代码。最重要的公告 ID： MMSA-2026-00622.
    (CVE-2026-3495)

  - Mattermost 在远程群集邀请确认期间无法验证 RefreshedToken 是否与原始邀请令牌不同，从而允许经认证的攻击者通过发送具有与原始令牌匹配的 RefreshedToken 的特制邀请确认来绕过令牌轮换并重用原始邀请令牌。最重要的公告 ID： MMSA-2026-00575.（CVE-2026-4273）

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

最重要的服务器 10.11.x <= 10.11.13 / 11.5.x <= 11.5.1 多个漏洞（MMSA-2026-00570 / MMSA-2026-00575 / MMSA-2026-00582 / MMSA-2026-00622）

medium Nessus 插件 ID 316489

版本 1.2

检测

最重要的服务器 10.11.x <= 10.11.13 / 11.5.x <= 11.5.1 多个漏洞 （MMSA-2026-00570 / MMSA-2026-00575 / MMSA-2026-00582 / MMSA-2026-00622）

medium Nessus 插件 ID 316489

版本 1.2

最重要的服务器 10.11.x <= 10.11.13 / 11.5.x <= 11.5.1 多个漏洞（MMSA-2026-00570 / MMSA-2026-00575 / MMSA-2026-00582 / MMSA-2026-00622）