目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2026-10106— Mattermost 私聊频道交互帖子未授权触发漏洞

CVSS 6.5 · Medium EPSS 0.17% · P7

影响版本矩阵 7

厂商产品版本范围状态
MattermostMattermost11.7.0≤ 11.7.2affected
11.6.0≤ 11.6.4affected
10.11.0≤ 10.11.19affected
11.8.0unaffected
11.7.3unaffected
11.6.5unaffected
10.11.20unaffected
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-10106 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
Unauthorized users can trigger interactive post actions in private channels via action cookie channel mismatch in Mattermost
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Mattermost versions 11.7.x <= 11.7.2, 11.6.x <= 11.6.4, 10.11.x <= 10.11.19 fail to verify that the channel referenced in an action cookie matches the channel of the target post, which allows an authenticated user without access to a private channel to trigger interactive post actions on posts in that channel via a cookie obtained from any accessible channel.. Mattermost Advisory ID: MMSA-2026-00690
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
授权机制不正确
来源: 美国国家漏洞数据库 NVD

受影响产品

厂商产品影响版本CPE订阅
MattermostMattermost 11.7.0 ~ 11.7.2 -

二、漏洞 CVE-2026-10106 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-10106 的情报信息

登录查看更多情报信息。

同批安全公告 · Mattermost · 2026-07-13 · 共 10 条

CVE-2026-68506.5 MEDIUMMattermost 消息附件拒绝服务漏洞
CVE-2026-95715.9 MEDIUMMattermost 被停用账户仍可通过刷新令牌获取有效OAuth访问令牌
CVE-2026-95975.4 MEDIUMMattermost 已停用账户可通过魔法链接令牌认证漏洞
CVE-2026-100855.4 MEDIUMTelegram 群聊成员可开启组约束并移除所有频道参与者漏洞
CVE-2026-97084.9 MEDIUM未验证Webhook所有者导致的用户归属漏洞
CVE-2026-65414.3 MEDIUM其他剧本指标配置的非范围更新漏洞
CVE-2026-98244.3 MEDIUM远程集群元数据枚举通过/share-channel自动补全
CVE-2026-101034.3 MEDIUMMattermost 共享频道中未授权修改或删除帖子漏洞
CVE-2026-98203.8 LOWMattermost 团队端点暴露私有团队邀请ID漏洞

IV. Related Vulnerabilities

V. Comments for CVE-2026-10106

暂无评论


发表评论