it

CVE-2026-22892:Chatroom 中的 Confused Deputy:剖析 CVE-2026-22892

发布: (2026年2月15日 GMT+8 03:40)
1 分钟阅读
原文: Dev.to

Source: Dev.to

TL;DR

Mattermost Jira 插件在从 Mattermost 帖子创建 Jira 议题时未能验证用户权限。拥有有效帖子 ID 的攻击者可以强制插件检索并显示其无法访问的私有频道内容。已在 11.3.0 版本及相关补丁中修复。

Technical Details

  • Vulnerability ID: CVE-2026-22892
  • CWE: CWE‑863(授权错误)
  • CVSS v3.1: 4.3(中等)
  • Attack Vector: 网络(已认证)
  • Privileges Required: 低(用户)
  • EPSS Score: 0.01 %(低)
  • Exploit Status: 无(无公开利用)

Affected Systems

  • Mattermost Server (Jira Plugin) 10.11.x

Remediation Steps

  1. 在插件列表中找到 Jira
  2. 点击 Update(更新)以安装 11.3.0 或更高版本。
  3. 或者,将 Mattermost 服务器升级到已修补的发行版(例如 10.11.10、 11.1.3、 11.2.2),这些版本已包含修复后的插件。

References

0 浏览
#CVE-2026-22892 #Mattermost #Jira plugin #security vulnerability #authorization flaw
查看原文
Share:
Back to Blog

相关文章

阅读更多 »