Mattermost Server 10.11.x <= 10.11.13 / 11.3.x < 11.3.3 / 11.4.x < 11.4.3 / 11.5.x < 11.5.1 / 11.6.0 多个漏洞 (MMSA-2026-00624 / MMSA-2026-00625)
high Nessus 插件 ID 310112
语言:
简介
远程主机受到多个漏洞影响。描述
远程主机上安装的 Mattermost 服务器版本受到多种漏洞影响- Mattermost 版本 10.11.x <= 10.11.12、 11.5.x <= 11.5.0、 11.4.x <= 11.4.2、 11.3.x <= 11.3.2 无法执行客户机 magic link 标记的原子一次性消耗这允许具有访问权限的攻击者连接到有效的 magic 链接以通过并发请求建立多个独立的经过认证的会话。
Mattermost 公告 ID MMSA-2026-00624。 (CVE-2026-3590)
- Mattermost 版本 10.11.x <= 10.11.12、 11.5.x <= 11.5.0、 11.4.x <= 11.4.2、 11.3.x <= 11.3.2 无法在认证端点上验证 CSRF 标记从而允许攻击者通过通过诱骗用户访问恶意页面进行 CSRF 攻击。Mattermost 公告 ID MMSA-2026-00625。 (CVE-2026-28741)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 Mattermost Server 10.11.13、11.3.3、11.4.3、11.5.1、11.6.0 或更高版本。另见
插件详情
严重性: High
ID: 310112
文件名: mattermost_server_MMSA-2026-00624_MMSA-2026-00625.nasl
版本: 1.2
类型: Remote
系列: CGI abuses
发布时间: 2026/4/24
最近更新时间: 2026/4/27
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.0
CVSS v2
风险因素: High
基本分数: 9.4
时间分数: 7
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N
CVSS 分数来源: CVE-2026-28741
CVSS v3
风险因素: High
基本分数: 8.1
时间分数: 7.1
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:mattermost:mattermost_server
必需的 KB 项: installed_sw/Mattermost Server
易利用性: No known exploits are available
补丁发布日期: 2026/3/16
漏洞发布日期: 2026/4/15
参考资料信息
CVE: CVE-2026-28741, CVE-2026-3590
IAVA: 2026-A-0365