CVE-2026-4274

Опубликовано: 26 мар. 2026

Источник: nvd

CVSS3: 5.4

EPSS Низкий

Описание

Mattermost versions 11.2.x <= 11.2.2, 10.11.x <= 10.11.10, 11.4.x <= 11.4.0, 11.3.x <= 11.3.1 fail to restrict team-level access when processing membership sync from a remote cluster, which allows a malicious remote cluster to grant a user access to an entire private team instead of only the shared channel via sending crafted membership sync messages that trigger team membership assignment. Mattermost Advisory ID: MMSA-2026-00574

Ссылки

https://mattermost.com/security-updates
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*

Версия от 10.11.0 (включая) до 10.11.11 (исключая)

cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*

Версия от 11.2.0 (включая) до 11.2.3 (исключая)

cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*

Версия от 11.3.0 (включая) до 11.3.2 (исключая)

cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*

Версия от 11.4.0 (включая) до 11.4.1 (исключая)

EPSS

Процентиль: 7%

0.00027

Низкий

5.4 Medium

CVSS3

Дефекты

CWE-863

Связанные уязвимости

CVE-2026-4274

CVSS3: 5.4

debian

15 дней назад

Mattermost versions 11.2.x <= 11.2.2, 10.11.x <= 10.11.10, 11.4.x <= 1 ...

GHSA-g7fp-cqj5-x8hf

CVSS3: 5.4

github

15 дней назад

Mattermost has an Incorrect Authorization issue

EPSS

Процентиль: 7%

0.00027

Низкий

5.4 Medium

CVSS3

Дефекты

CWE-863