製品・ソフトウェアに関する情報

JVN脆弱性詳細

Mattermost, Inc.のMattermost Serverにおける不正な認証に関する脆弱性

Title	Mattermost, Inc.のMattermost Serverにおける不正な認証に関する脆弱性
Summary	Mattermostプラグインのバージョン11.5以下、11.1.5、10.13.11、および11.3.4.0には、ユーザーがどのグループに対して問題を作成したりコメントを添付したりできるかに関するAPIレベルのチェックが存在しませんでした。そのため、複数のグループのメンバーであるユーザーが、直接APIリクエストを介してロックされたグループに問題を作成する可能性があります。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 18, 2026, midnight
Registration Date	June 3, 2026, 5 p.m.
Last Update	June 3, 2026, 5 p.m.

Affected System

Mattermost, Inc.

Mattermost Server 10.13.0 から 10.13.11

Mattermost Server 11.1.0 から 11.1.5

Mattermost Server 11.3.0 から 11.3.4

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-6341	https://www.cve.org/CVERecord?id=CVE-2026-6341
National Vulnerability Database (NVD)
2	CVE-2026-6341	https://nvd.nist.gov/vuln/detail/CVE-2026-6341

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-863	https://cwe.mitre.org/data/definitions/863.html

ベンダー情報

No	Name	URL
Security Updates
1	Security Updates	https://mattermost.com/security-updates

Change Log

No	Changed Details	Date of change
1	[2026年06月03日] 掲載	June 3, 2026, 5 p.m.

NVD Vulnerability Information

CVE-2026-6341

Summary	Mattermost Plugins versions <=11.5 11.1.5 10.13.11 11.3.4.0 fail to have API-level checks on which groups the user can create issues or attach comments to which allows a user that is member of multiple groups to create issues to a locked group via direct API requests. Mattermost Advisory ID: MMSA-2026-00602
Publication Date	May 18, 2026, 5:16 p.m.
Registration Date	May 19, 2026, 4:14 a.m.
Last Update	May 19, 2026, 2:32 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://mattermost.com/security-updates	responsibledisclosure@mattermost.com

Common Vulnerabilities List