CVE-2026-6343Mattermost是一款广泛使用的开源团队协作和消息传递平台。在近期披露的漏洞中,Mattermost特定版本未能正确实施针对Playbooks(行动手册)功能的访问控制策略。系统在处理用户请求时,忽略了必要的权限验证步骤,导致缺乏相应权限的成员可以绕过安全限制。攻击者利用该漏洞,可以通过网络向服务器发送特定请求,从而未经授权地访问公开的Playbooks数据。这一缺陷严重违反了最小权限原则,可能导致业务流程敏感信息的意外泄露,对组织的机密性构成直接威胁。
该漏洞属于典型的访问控制失效漏洞(CWE-284)。其根本原因在于Mattermost服务器端在处理Playbooks相关的API请求时,权限校验逻辑存在缺陷。在正常业务流程中,当用户试图通过/get等端点获取Playbooks详情时,服务器应当解析用户的会话令牌,并查询数据库以确认该用户是否属于该Playbooks所属的团队,或者是否被显式授予了访问权限。然而,在受影响的版本(11.5.x, 11.4.x, 10.11.x)中,这一关键的验证步骤被错误地省略或绕过了。具体而言,代码逻辑未能有效区分“公开”与“私有”Playbooks的访问界限,导致系统默认允许已认证的低权限用户(PR:L)发起请求。攻击者无需进行复杂的社会工程学攻击或用户交互(UI:N),只需掌握一个普通账号的凭证,即可构造恶意的HTTP GET请求。由于服务器端未拦截,攻击者将收到包含敏感Playbooks配置和内容的HTTP 200 OK响应。这种漏洞利用方式隐蔽且直接,直接导致了机密性(C:L)的破坏,虽然未影响完整性和可用性,但信息泄露可能为后续的供应链攻击或业务欺诈提供便利。