CVE-2026-9824CVE-2026-9824是Mattermost团队协作平台中的一个权限绕过漏洞,该漏洞源于平台在处理/share-channel自动补全请求时,未对manage_shared_channels权限进行充分校验。Mattermost是一款广泛使用的企业级团队协作和消息传递平台,支持频道共享、远程集群连接等高级功能。
该漏洞影响Mattermost 11.7.x至11.7.2、11.6.x至11.6.4以及10.11.x至10.11.19等多个版本。漏洞的CVSS评分为4.3,属于中危级别。攻击向量为网络攻击,需要低权限认证,但无需用户交互。
该漏洞的核心问题在于授权检查缺失:当用户通过斜杠命令触发/share-channel自动补全功能时,系统未验证当前用户是否拥有manage_shared_channels权限。拥有任何有效Mattermost账户的低权限用户(包括普通成员)都可以利用此缺陷,通过自动补全接口枚举服务器上配置的远程集群连接元数据。这些元数据可能包含远程集群的名称、连接配置信息等敏感内容,从而泄露组织的集成架构信息。Mattermost官方已为此漏洞分配了安全公告编号MMSA-2026-00676。
Mattermost的/share-channel斜杠命令用于在频道间共享内容,其自动补全功能(autocomplete handler)旨在帮助用户快速选择目标频道。然而,在受影响版本中,该自动补全处理器在返回建议列表时,未在服务器端执行manage_shared_channels权限校验。
从技术角度看,该漏洞属于典型的失效访问控制(Broken Access Control)漏洞,属于OWASP Top 10中的常见问题类型。正常的安全实现应当在API端点入口处验证用户角色和权限,确保只有具备相应管理权限的用户才能获取远程集群配置信息。但在受影响版本中,权限检查逻辑被遗漏或被错误地移除。
利用方式相对简单:攻击者只需拥有一个有效的Mattermost账户(即使是普通成员权限),在任意频道中输入/share-channel命令触发自动补全请求。服务器在处理该请求时,会返回与远程集群连接相关的元数据信息,包括但不限于远程集群标识符、连接名称等配置详情。这些信息虽然不直接包含凭证,但可被用于侦察阶段,帮助攻击者绘制目标组织的IT基础设施拓扑,为后续更有针对性的攻击奠定基础。