CVE-2026-3112 CVSS 6.8 中危

CVE-2026-3112 Mattermost 任意文件读取漏洞

披露日期: 2026-03-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3112

漏洞类型

路径遍历

CVSS评分

6.8 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Mattermost

漏洞概述

Mattermost 在受影响版本中未能正确验证高级日志记录功能的文件目标路径，存在安全漏洞。具有系统管理员权限的攻击者可以利用此漏洞，通过配置恶意的 AdvancedLoggingJSON，在生成支持数据包的过程中读取服务器主机上的任意文件。此漏洞可能导致敏感配置信息或凭证泄露。

技术细节

该漏洞的核心在于 Mattermost 对高级日志记录配置中的文件路径缺乏严格的验证机制。具体而言，系统管理员可以在配置界面设置 `AdvancedLoggingJSON`，该参数用于定义日志收集的路径。由于应用程序未对用户输入的路径进行过滤或规范化，攻击者可以构造包含路径遍历字符（如 `../`）的恶意路径，将日志文件指向服务器上的任意敏感位置（例如 `/etc/shadow` 或应用密钥文件）。当管理员触发“生成支持数据包”功能时，系统会根据该恶意配置读取并打包指定文件。攻击者随后下载并解压该数据包，即可获取敏感文件内容。此攻击需要管理员权限（PR:H），因此主要风险来自内部人员或管理员账号被攻陷的场景。

攻击链分析

STEP 1

获得管理员权限

攻击者通过钓鱼、凭据窃取或其他手段获取 Mattermost 系统管理员账号。

STEP 2

修改日志配置

管理员登录系统控制台，导航至高级日志记录设置，编辑 `AdvancedLoggingJSON` 配置，将日志文件路径修改为包含路径遍历序列的恶意路径（如指向 `/etc/passwd`）。

STEP 3

生成支持包

在系统管理界面触发“生成支持数据包”功能，系统会根据配置收集日志，从而将目标敏感文件打包进压缩包中。

STEP 4

获取敏感数据

攻击者下载生成的支持数据包，解压后读取被包含的敏感主机文件。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

{
  "AdvancedLoggingJSON": {
    "file": {
      "location": "../../../../../../etc/passwd"
    }
  }
}
// Note: Administrators can inject a path traversal payload into the AdvancedLoggingJSON configuration to target sensitive files.

影响范围

Mattermost 11.4.0 及以下

Mattermost 11.3.1 及以下

Mattermost 11.2.3 及以下

Mattermost 10.11.11 及以下

防御指南

临时缓解措施

如果无法立即升级，请严格控制系统管理员账号的访问权限，并监控 Mattermost 配置文件（特别是 AdvancedLoggingJSON 字段）的变更。对于已生成的支持数据包，在分发给第三方前应进行安全审查，确保其中未包含意外的敏感文件。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-3112
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-3112
3 Details https://www.cvedetails.com/cve/CVE-2026-3112/
4 VulDB https://vuldb.com/cve/CVE-2026-3112
5 Link https://mattermost.com/security-updates

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表