CVE-2026-9708CVE-2026-9708是Mattermost协作平台中的一个中等严重性安全漏洞,CVSS评分为4.9。该漏洞存在于Mattermost的入站Webhook(Incoming Webhook)功能中,核心问题在于系统在处理入站Webhook请求时,未能充分验证所分配的Webhook用户是否具有对目标团队或频道的访问权限。由于缺少这一关键校验,拥有Webhook管理权限的用户可以通过精心构造的Webhook配置和有效载荷,创建以其他用户身份署名的帖子或直接消息,从而实现用户身份冒充。
该漏洞影响了Mattermost的多个版本分支,包括11.7.x(最高至11.7.2)、11.6.x(最高至11.6.4)以及10.11.x(最高至10.11.19)。这些版本在企业协作场景中被广泛部署,因此漏洞的潜在影响范围较大。Mattermost官方已发布安全公告MMSA-2026-00683来通报此问题,并提供了相应的安全更新。
从攻击条件来看,该漏洞需要攻击者已具备较高的权限(PR:H),即需要拥有Webhook管理权限,因此普通用户无法直接利用此漏洞。然而,在拥有相应权限的内部用户(如团队管理员或具有特定角色的用户)手中,此漏洞可被用于冒充组织内的其他用户发送消息,可能导致社会工程攻击、钓鱼攻击或内部信任体系的破坏。虽然机密性影响较低且可用性不受影响,但由于完整性影响为高(I:H),此漏洞仍构成实质性的安全风险。
Mattermost的入站Webhook功能允许外部系统通过HTTP POST请求向指定频道发送消息。在正常的安全设计中,当管理员创建入站Webhook时,可以指定一个用户作为消息的发送者身份。系统应当验证该指定用户是否对目标团队或频道具有合法的访问权限,以防止权限提升或身份冒充。
CVE-2026-9708的根本原因在于Mattermost服务端在处理Webhook请求时,缺少对分配用户访问权限的验证。具体而言,当攻击者(已具备Webhook管理权限)创建一个入站Webhook时,可以将Webhook绑定到一个对目标团队或频道没有合法访问权限的用户。随后,当通过该Webhook发送消息时,服务端未能进行权限检查,直接以该用户的名义在目标频道中创建帖子或发送直接消息。
利用方式如下:
1. 攻击者需要拥有Webhook管理权限(PR:H),这通常对应于团队管理员或具有特定角色的用户。
2. 攻击者创建一个入站Webhook,在配置中将用户字段设置为目标频道/团队之外的另一个用户(例如其他团队的成员或非频道成员的用户)。
3. 攻击者通过该Webhook的URL端点发送精心构造的POST请求负载。
4. 服务端未验证分配用户对目标频道的访问权限,直接以该用户的身份发布消息。
5. 接收方看到的消息来源为被冒充的用户,从而实现身份冒充。
此漏洞的攻击向量为网络(AV:N),攻击复杂度低(AC:L),无需用户交互(UI:N),影响范围为变更范围(S:U),机密性影响低(C:L),完整性影响高(I:H),可用性影响无(A:N)。