製品・ソフトウェアに関する情報

JVN脆弱性詳細

Mattermost, Inc.のMattermost ServerにおけるTime-of-check Time-of-use (TOCTOU) 競合状態の脆弱性

Title	Mattermost, Inc.のMattermost ServerにおけるTime-of-check Time-of-use (TOCTOU) 競合状態の脆弱性
Summary	Mattermostのバージョン10.11.x = 10.11.12、11.5.x = 11.5.0、11.4.x = 11.4.2、11.3.x = 11.3.2において、ゲスト用マジックリンクトークンの単一使用の原子性を強制できない問題が存在します。この問題により、有効なマジックリンクにアクセスできる攻撃者は、複数の独立した認証済みセッションを同時リクエストによって確立できる可能性があります。
Possible impacts	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 15, 2026, midnight
Registration Date	April 24, 2026, 11:42 a.m.
Last Update	April 24, 2026, 11:42 a.m.

Affected System

Mattermost, Inc.

Mattermost Server 10.11.0 以上 10.11.13 未満

Mattermost Server 11.3.0 以上 11.3.3 未満

Mattermost Server 11.4.0 以上 11.4.3 未満

Mattermost Server 11.5.0 以上 11.5.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-3590	https://www.cve.org/CVERecord?id=CVE-2026-3590
National Vulnerability Database (NVD)
2	CVE-2026-3590	https://nvd.nist.gov/vuln/detail/CVE-2026-3590

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-367	https://cwe.mitre.org/data/definitions/367.html

ベンダー情報

No	Name	URL
Security Updates
1	Security Updates	https://mattermost.com/security-updates

Change Log

No	Changed Details	Date of change
1	[2026年04月24日] 掲載	April 24, 2026, 11:42 a.m.

NVD Vulnerability Information

CVE-2026-3590

Summary	Mattermost versions 10.11.x <= 10.11.12, 11.5.x <= 11.5.0, 11.4.x <= 11.4.2, 11.3.x <= 11.3.2 fail to enforce atomic single-use consumption of guest magic link tokens, which allows an attacker with access to a valid magic link to establish multiple independent authenticated sessions via concurrent requests.. Mattermost Advisory ID: MMSA-2026-00624
Publication Date	April 15, 2026, 9:16 p.m.
Registration Date	April 17, 2026, 4:11 a.m.
Last Update	April 23, 2026, 4:41 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:mattermost:mattermost_server::::::::	10.11.0			10.11.13
cpe:2.3:a:mattermost:mattermost_server::::::::	11.3.0			11.3.3
cpe:2.3:a:mattermost:mattermost_server::::::::	11.4.0			11.4.3
cpe:2.3:a:mattermost:mattermost_server::::::::	11.5.0			11.5.1

Related information, measures and tools

No	URL	refsource	タグ
1	https://mattermost.com/security-updates	responsibledisclosure@mattermost.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-367	Time-of-check Time-of-use (TOCTOU) 競合状態	https://cwe.mitre.org/data/definitions/367.html