CVE-2026-9597CVE-2026-9597是Mattermost团队协作平台中的一个中等严重性安全漏洞,CVSS评分为5.4分。该漏洞存在于Mattermost的魔术链接(Magic-Link)令牌登录路径中,具体影响版本为11.7.x系列(11.7.0至11.7.2)和11.6.x系列(11.6.0至11.6.4)。
漏洞的核心问题在于,当用户通过魔术链接令牌进行身份验证时,系统未能正确验证该用户账户的当前状态。具体而言,当一个访客(Guest)账户被停用(deactivated)后,如果该用户此前已经获取了一个有效的魔术链接令牌,系统仍然会基于该令牌为其创建一个完全功能的会话,而不会检查账户是否已被停用。
这意味着管理员虽然已经停用了某个访客账户,但该访客仍然可以通过之前收到的魔术链接令牌绕过停用措施,重新获得对Mattermost工作区的访问权限。该漏洞的Mattermost官方公告编号为MMSA-2026-00681,由[email protected]负责任地披露。该漏洞的利用需要低权限(已拥有一个有效的魔术链接令牌),无需用户交互,通过网络即可远程利用,对机密性和完整性造成低程度的影响,但不影响系统可用性。
Mattermost的魔术链接(Magic-Link)是一种无密码认证机制,允许用户通过点击发送到其邮箱中的特殊链接来登录系统。当用户请求魔术链接时,系统会生成一个包含身份验证信息的令牌,并通过电子邮件发送给用户。用户点击该链接后,系统验证令牌的有效性并创建用户会话。
该漏洞的技术原理在于:在魔术链接令牌登录的处理流程中,系统仅验证了令牌本身的有效性(如令牌是否过期、是否已被使用等),但遗漏了一个关键的检查步骤——验证令牌关联的用户账户是否处于活跃状态。具体来说,当管理员停用某个访客账户时,系统应该将该账户标记为非活跃状态,并在后续的认证流程中拒绝为已停用账户创建会话。
然而,在存在漏洞的版本中,魔术链接登录路径没有执行这一账户状态验证检查。因此,攻击者(即已停用的访客用户)可以利用在其账户被停用之前获取的魔术链接令牌,成功完成身份验证流程,获得一个完全功能的会话。
利用条件:
1. 攻击者必须曾经是一个有效的访客账户持有者;
2. 攻击者必须在其账户被停用之前获取了一个有效的魔术链接令牌;
3. 该令牌在其账户被停用后仍然处于有效期内(未被使用且未过期)。
利用方式相对简单:攻击者只需在其账户被管理员停用后,使用之前保存的魔术链接URL访问系统,即可绕过账户停用限制,获得对Mattermost工作区的未授权访问。