IPBUF安全漏洞报告
English
CVE-2026-6339 CVSS 4.3 中危

CVE-2026-6339 Mattermost 阅后即焚消息强制揭示漏洞

披露日期: 2026-05-18
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-6339
漏洞类型
权限绕过
CVSS评分
4.3 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Mattermost

相关标签

权限绕过Mattermost信息泄露CSRF逻辑漏洞

漏洞概述

该漏洞存在于Mattermost的阅读后即焚功能中。由于系统在阅读后即焚消息的揭示端点上未正确验证X-Requested-With请求头,经过身份验证的频道成员可以利用精心构造的Markdown图片标签,绕过用户交互确认,强制揭示原本应阅后即焚的消息。这种行为破坏了消息的隐私保护机制,导致敏感信息在接收者不知情的情况下被泄露。

技术细节

该漏洞源于Mattermost服务器端对特定API端点的请求头验证逻辑缺陷。通常,为了防止CSRF攻击,敏感操作会检查X-Requested-With头部以确认请求来源于AJAX调用。然而,在受影响版本的“阅后即焚”消息揭示端点中,该验证被省略或配置不当。攻击者只需拥有频道成员权限,即可在发送消息时嵌入恶意Markdown图片语法。当受害者的客户端渲染该图片时,会自动向服务器端发送请求。由于缺少头部验证,服务器误认为这是一个合法的揭示请求,从而返回了本应销毁的敏感消息内容。这是一个典型的服务端请求验证缺失导致的逻辑漏洞。

攻击链分析

STEP 1
侦察
攻击者确认目标运行的是受影响版本的Mattermost(11.5.x <= 11.5.1 或 11.4.x <= 11.4.3)。
STEP 2
构造载荷
攻击者构造一个包含Markdown图片标签的消息,将图片的URL指向目标阅后即焚消息的揭示端点。
STEP 3
发送载荷
攻击者将包含恶意载荷的消息发送到目标频道。
STEP 4
触发漏洞
当频道成员(受害者)的客户端加载并渲染该消息时,自动向服务器发送图片请求。
STEP 5
信息泄露
服务器因未校验X-Requested-With头部,误判请求合法,强制揭示阅后即焚消息内容。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# PoC for CVE-2026-6339 # Description: Trigger burn-on-read message reveal via Markdown image tag. # The attacker sends a message in a Mattermost channel containing the following payload: # Replace <message-id> with the target burn-on-read message ID and <domain> with the target server. payload = "![Secret Image](https://<mattermost-domain>/api/v4/posts/<message-id>/reveal)" # When the victim's client renders the Markdown, it sends a GET request to the reveal endpoint. # The server processes the request without checking the 'X-Requested-With' header. # This causes the burn-on-read message to be revealed and potentially logged or exposed in the response.

影响范围

Mattermost 11.5.x <= 11.5.1
Mattermost 11.4.x <= 11.4.3

防御指南

临时缓解措施
建议管理员立即升级到修复版本。在无法升级的情况下,可配置反向代理规则,拦截对特定端点的请求,除非请求头中包含"X-Requested-With: XMLHttpRequest"。同时,教育用户不要轻易加载不明来源的图片内容。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表