CVE-2026-22892: 채팅방의 Confused Deputy: CVE-2026-22892 분석
발행: (2026년 2월 15일 오전 04:40 GMT+9)
2 분 소요
원문: Dev.to
Source: Dev.to
TL;DR
Mattermost Jira 플러그인은 Mattermost 게시물에서 Jira 이슈를 생성할 때 사용자 권한을 확인하지 못했습니다. 유효한 게시물 ID를 가진 공격자는 플러그인이 사적인 채널의 내용을 가져와 표시하도록 강제할 수 있습니다. 버전 11.3.0 및 관련 패치 릴리스에서 수정되었습니다.
Technical Details
- Vulnerability ID: CVE-2026-22892
- CWE: CWE‑863 (Incorrect Authorization)
- CVSS v3.1: 4.3 (Medium)
- Attack Vector: Network (Authenticated)
- Privileges Required: Low (User)
- EPSS Score: 0.01 % (Low)
- Exploit Status: None (No Public Exploit)
Affected Systems
- Mattermost Server (Jira Plugin) 10.11.x
Remediation Steps
- 플러그인 목록에서 Jira를 찾습니다.
- Update를 클릭하여 버전 11.3.0 이상을 설치합니다.
- 또는 Mattermost Server를 패치된 릴리스(예: 10.11.10, 11.1.3, 11.2.2)로 업그레이드하여 수정된 플러그인을 포함시킵니다.