В Банк данных угроз безопасности информации (BDU) была внесена запись об опасной уязвимости в приложении для обмена мгновенными сообщениями Mattermost. Платформу широко используют компании и государственные организации как альтернативу проприетарным решениям. Поэтому новость о найденном дефекте быстро привлекла внимание специалистов по защите информации.
Детали уязвимости
Согласно официальному описанию, уязвимость получила идентификаторы BDU:2026-09267 и CVE-2026-4858. Она относится к типу CWE-22 - неверное ограничение имени пути к каталогу с ограниченным доступом. Простыми словами, это классический обход каталогов (path traversal). Злоумышленник, используя такую ошибку, может выйти за пределы разрешённой директории и получить доступ к файлам, которые не предназначены для просмотра.
Проблема затрагивает сразу несколько веток продукта. В список уязвимых версий попали Mattermost от 11.5.0 до 11.5.3, от 11.4.0 до 11.4.4, а также от 10.11.0 до 10.11.14. Кроме того, под удар попала версия 11.6.0. Разработчик из компании Mattermost Inc уже подтвердил наличие уязвимости и выпустил исправления. Тем не менее многие администраторы ещё не установили обновление, а значит, их системы остаются открытыми для атаки.
Оценка критичности по шкале CVSS 3.1 составила 9,9 балла из 10 возможных. Это почти максимальный уровень опасности. По второй версии CVSS 2.0 показатель равен 9 - тоже высокий. Вектор атаки выглядит следующим образом: удалённая эксплуатация (AV:N), сложность низкая (AC:L), для атаки необходима учётная запись с минимальными правами (PR:L), взаимодействие с пользователем не требуется (UI:N). При этом последствия затрагивают конфиденциальность, целостность и доступность на высшем уровне (C:H/I:H/A:H). Иными словами, успешная атака может привести к полной компрометации сервера и данных, которые через него проходят.
Программный код Mattermost неправильно проверяет имена путей, которые передаются в запросах к файловой системе. Обычно сервер ограничивает доступ к папке с данными конкретного пользователя или общими ресурсами, но из-за ошибки можно манипулировать параметрами и перейти в родительские каталоги. Например, отправить запрос с комбинацией "../" и получить содержимое системных директорий. Учитывая, что Mattermost хранит сообщения, вложенные файлы, токены доступа и, возможно, конфигурационные данные, последствия очевидны: злоумышленник может выгрузить всю переписку, украсть документы, а также получить ключи для дальнейшего проникновения в инфраструктуру.
Важно отметить, что уязвимость может быть использована удалённо. Нарушителю не нужно физически находиться в сети компании. Достаточно авторизоваться в системе с минимальными правами (например, обычного пользователя) и отправить специально сформированный запрос через API. Поскольку Mattermost часто служит корпоративным коммуникационным хабом, через него проходят потоки конфиденциальной информации: обсуждения проектов, клиентские данные, внутренние документы. Утечка такой информации может нанести серьёзный репутационный и финансовый ущерб.
Разработчики уже выпустили патч. Ссылки на него приведены в официальном бюллетене безопасности на сайте mattermost.com. Администраторам настоятельно рекомендуется как можно быстрее обновить Mattermost до версий, в которых ошибка исправлена. Для тех, кто не может немедленно выполнить обновление, стоит временно ограничить доступ к серверу из внешних сетей, ввести дополнительные проверки запросов на уровне обратного прокси или файервола. Однако это лишь временные меры. Полноценная защита возможна только установкой корректирующего релиза.
Подводя итог, можно сказать, что обнаруженная уязвимость в Mattermost - классический пример того, как небольшой недосмотр в коде приводит к серьёзным рискам. Компании, использующие этот мессенджер для рабочих коммуникаций, должны незамедлительно проверить его версию и применить обновление. Промедление может стоить утечки корпоративных тайн или даже захвата контроля над сервером. Своевременное обновление - самый надёжный способ избежать неприятных последствий.
Ссылки
- https://bdu.fstec.ru/vul/2026-09267
- https://www.cve.org/CVERecord?id=CVE-2026-4858
- https://mattermost.com/security-updates
- https://threataft.com/articles/mattermost-cve-2026-4858-path-traversal-api-takeover