Mattermost versions 11.4.x <= 11.4.0, 11.3.x <= 11.3.1, 11.2.x <= 11.2.3, 10.11.x <= 10.11.11 fail to properly validate user identity in the OpenID {{IsSameUser()}} comparison logic, which allows an attacker to take over arbitrary user accounts via an overly permissive substring matching flaw in the user discovery flow.. Mattermost Advisory ID: MMSA-2026-00590
Mattermost versions up to 11.4.0 contain an OpenID identity validation flaw allowing attackers to take over arbitrary user accounts through substring matching in the user discovery flow. The vulnerability affects multiple version branches and requires immediate patching to prevent account takeover attacks.
يحتوي Mattermost على خلل في منطق مقارنة IsSameUser() في OpenID يسمح بمطابقة جزئية للسلاسل النصية بدلاً من المطابقة الدقيقة. يمكن للمهاجمين استغلال هذا الخلل للاستيلاء على حسابات المستخدمين التعسفية من خلال تدفق اكتشاف المستخدم. يؤثر الثغرة على عدة فروع إصدارات من Mattermost.
إصدارات Mattermost حتى 11.4.0 تحتوي على خلل في التحقق من هوية OpenID يسمح للمهاجمين بالاستيلاء على حسابات المستخدمين التعسفية من خلال مطابقة السلاسل الجزئية في تدفق اكتشاف المستخدم. يؤثر الثغرة على فروع إصدارات متعددة ويتطلب إصلاح فوري لمنع هجمات الاستيلاء على الحسابات.
Update Mattermost to patched versions: 11.4.1 or later, 11.3.2 or later, 11.2.4 or later, or 10.11.12 or later. Implement strict identity validation in OpenID configuration and review access logs for suspicious account takeover attempts. Disable OpenID authentication temporarily if immediate patching is not possible.
قم بتحديث Mattermost إلى الإصدارات المصححة: 11.4.1 أو أحدث، 11.3.2 أو أحدث، 11.2.4 أو أحدث، أو 10.11.12 أو أحدث. قم بتنفيذ التحقق الصارم من الهوية في تكوين OpenID ومراجعة سجلات الوصول للكشف عن محاولات الاستيلاء على الحسابات المريبة. قم بتعطيل مصادقة OpenID مؤقتاً إذا لم يكن الإصلاح الفوري ممكناً.