Podatność w Mattermost Server pozwala uwierzytelnionemu atakującemu z uprawnieniami do tworzenia zespołów na przejęcie cudzego konta użytkownika poprzez manipulację danymi uwierzytelniającymi w trakcie przepływu OAuth/OpenID Connect. Podatność uzyskała ocenę CVSS 9.9 (CRITICAL) z uwagi na pełny zakres kompromitacji poufności, integralności i dostępności z rozszerzonym zasięgiem.
▸ Pokaż oryginał (EN)
Mattermost versions 10.12.x <= 10.12.1, 10.11.x <= 10.11.4, 10.5.x <= 10.5.12, 11.0.x <= 11.0.3 fail to properly validate OAuth state tokens during OpenID Connect authentication which allows an authenticated attacker with team creation privileges to take over a user account via manipulation of authentication data during the OAuth completion flow. This requires email verification to be disabled (default: disabled), OAuth/OpenID Connect to be enabled, and the attacker to control two users in the SSO system with one of them never having logged into Mattermost.
Aplikacja nieprawidłowo waliduje tokeny stanu OAuth (OAuth state tokens) podczas uwierzytelniania przez OpenID Connect (CWE-303: incorrect implementation of authentication algorithm). Atakujący, kontrolując dwa konta w systemie SSO — przy czym jedno z nich nigdy wcześniej nie logowało się do Mattermost — jest w stanie manipulować danymi przesyłanymi podczas fazy finalizacji przepływu OAuth. W rezultacie system błędnie kojarzy tożsamość ofiary z sesją atakującego, prowadząc do przejęcia konta. Atak jest możliwy wyłącznie gdy: weryfikacja adresu e-mail jest wyłączona (domyślnie wyłączona), OAuth/OpenID Connect jest włączony, a atakujący posiada uprawnienia do tworzenia zespołów.
Atakujący może w pełni przejąć konto innego użytkownika Mattermost, uzyskując dostęp do jego wiadomości, kanałów i danych, a także możliwość działania w jego imieniu. Ze względu na rozszerzony zasięg (Scope: Changed) skutki mogą wykraczać poza samą aplikację.
Należy zaktualizować Mattermost Server do wersji wyższych niż 10.12.1, 10.11.4, 10.5.12 lub 11.0.3 zgodnie z informacjami dostępnymi na stronie producenta (https://mattermost.com/security-updates). Do czasu wdrożenia patcha można ograniczyć ryzyko przez włączenie weryfikacji adresu e-mail lub wyłączenie OAuth/OpenID Connect, jeśli nie jest wymagany.
Mattermost Server w wersjach: 10.12.x <= 10.12.1, 10.11.x <= 10.11.4, 10.5.x <= 10.5.12, 11.0.x <= 11.0.3
Atak wymaga spełnienia kilku warunków jednocześnie: wyłączonej weryfikacji e-mail (co jest stanem domyślnym), włączonego OAuth/OpenID Connect oraz kontroli przez atakującego dwóch kont w systemie SSO, z czego jedno nigdy nie logowało się do Mattermost. Pomimo wysokiego wyniku CVSS, wymagania wstępne istotnie zawężają powierzchnię ataku.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HMattermost Server
APPMattermost10.5.0 – 10.5.13 (bez)10.11.0 – 10.11.5 (bez)10.12.0 – 10.12.2 (bez)11.0.0 – 11.0.4 (bez)
Powiązane podatności
Mattermost Server — przejęcie konta przez błąd weryfikacji tokenu OAuth (account takeover)
Mattermost Server: path traversal w ekstraktorze archiwów umożliwia RCE
Mattermost Server — path traversal przy imporcie tablic (Boards)
Mattermost Server: path traversal przy duplikowaniu bloków w Boards
SQL Injection w Mattermost Server — podatność przy zmianie kolejności tablic