← voltar
CVE-2026-4273

Insufficient token rotation validation in remote cluster invite confirmation

CVSS 3.7 LOWEPSS 0.1%CWE-863
Vexday Risk Score
8Baixo
Decisão SSVC (CISA)
Track
Sem sinal de exploração → monitorar
CVSS 3.7EPSS 0.1%KEV nãoPoC Nuclei Metasploit Patch referenciado
Ciclo de vida
18 mai 2026Publicada no NVD
Recomendação: Monitorar — sem sinal de exploração no momento.
Mattermost versions 11.5.x <= 11.5.1, 10.11.x <= 10.11.13 fail to validate that the RefreshedToken differs from the original invite token during remote cluster invite confirmation which allows an authenticated attacker to bypass token rotation and reuse the original invite token via sending a crafted invite confirmation with a RefreshedToken matching the original token. Mattermost Advisory ID: MMSA-2026-00575
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
Produtos afetados
Mattermost · Mattermost

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://mattermost.com/security-updates