В популярной платформе для совместной работы Mattermost выявлен ряд критических уязвимостей, затрагивающих механизмы авторизации и защиты от атак. Эти недостатки позволяют злоумышленникам обходить политики безопасности, манипулировать данными пользователей и выполнять несанкционированные действия. Инцидент касается тысяч организаций, использующих устаревшие версии этого корпоративного мессенджера, что подчеркивает важность своевременного обновления программного обеспечения.
Детали уязвимостей
Проблемы затронули несколько основных веток Mattermost Server: версии 10.11.x ранее 10.11.14, 11.3.x ранее 11.3.3, 11.4.x ранее 11.4.4 и 11.5.x ранее 11.5.2. Разработчики уже выпустили исправления, присвоив каждой уязвимости идентификаторы в системе CVE. Среди них выделяется несколько ключевых ошибок, каждая из которых представляет отдельный вектор для потенциальной атаки.
Первая уязвимость, CVE-2026-27769, связана с функцией Connected Workspaces (подключенные рабочие пространства). Она заключается в отсутствии должной проверки прав доступа. В результате вредоносный удаленный сервер, использующий эту функцию, может изменять отображаемый статус любого локального пользователя через специальный API. Хотя оценка риска по шкале CVSS (Common Vulnerability Scoring System, система оценки опасности уязвимостей) составляет лишь 2.7 балла (низкий уровень), сама возможность внешнего вмешательства в пользовательские данные создает нежелательный прецедент и подрывает доверие к системе.
Более серьезной выглядит проблема CVE-2026-28741, позволяющая обойти защиту от CSRF (межсайтовая подделка запроса). Эта уязвимость связана с отсутствием проверки CSRF-токенов на одном из эндпоинтов аутентификации. Злоумышленник может создать специальную веб-страницу и, обманом заставив пользователя перейти на нее, изменить его метод аутентификации. Оценка этой уязвимости - 6.8 балла (средний уровень), что отражает высокий потенциал для компрометации учетных записей.
Отдельного внимания заслуживает уязвимость CVE-2026-3590, связанная с состоянием гонки (race condition) в механизме аутентификации гостей по "волшебной ссылке" (guest magic link). Система не обеспечивает атомарное однократное использование токенов, что позволяет злоумышленнику, получившему валидную ссылку, создать несколько независимых аутентифицированных сессий с помощью параллельных запросов. Такая ошибка, оцененная в 6.5 баллов, может привести к несанкционированному расширению привилегий временных пользователей.
Еще два недостатка, CVE-2026-4265 и CVE-2026-4274, касаются некорректной проверки прав доступа. Первый позволяет гостевому пользователю загружать файлы в команды, где у него нет соответствующих разрешений, повторно используя метаданны файлов. Второй, более опасный, связан с синхронизацией участников общих каналов. Вредоносный удаленный кластер может использовать эту уязвимость, чтобы предоставить пользователю доступ ко всей приватной команде, а не только к конкретному общему каналу, отправив специально сформированные сообщения. Это классический пример ошибки авторизации, когда проверка прав осуществляется на неверном уровне.
Совокупность этих уязвимостей создает комплексную угрозу для целостности данных и политик безопасности в организациях, использующих Mattermost. Риски варьируются от несанкционированного изменения пользовательских настроек и обхода процедур аутентификации до получения доступа к закрытым корпоративным данным и командам. Особенно тревожно то, что некоторые атаки могут быть инициированы извне, через подключенные рабочие пространства или удаленные кластеры, что расширяет потенциальный периметр угрозы.
Для специалистов по информационной безопасности данный инцидент служит очередным напоминанием о критической важности управления обновлениями. Все перечисленные уязвимости уже устранены в последних версиях Mattermost Server. Таким образом, ключевой и единственной необходимой мерой защиты является немедленное обновление продукта до актуальных версий: 10.11.14, 11.3.3, 11.4.4 или 11.5.2 и новее, в зависимости от используемой ветки. Регулярный аудит конфигураций, особенно настроек подключенных рабочих пространств и общих каналов, также поможет минимизировать риски, связанные с подобными логическими ошибками в будущем.
Ссылки
- https://mattermost.com/security-updates/
- https://www.cve.org/CVERecord?id=CVE-2026-4274
- https://www.cve.org/CVERecord?id=CVE-2026-4265
- https://www.cve.org/CVERecord?id=CVE-2026-3590
- https://www.cve.org/CVERecord?id=CVE-2026-28741
- https://www.cve.org/CVERecord?id=CVE-2026-27769
