NVD脆弱性詳細

CVE-2026-8074

概要	Mattermost versions 11.7.x <= 11.7.0, 10.11.x <= 10.11.17 fail to enforce bot-specific permission checks on the user active status endpoint, which allows a User Manager with user management write access but no Integrations access to deactivate bot accounts via the PUT /api/v4/users/{id}/active API endpoint.. Mattermost Advisory ID: MMSA-2026-00667
公表日	2026年6月22日23:17
登録日	2026年6月27日4:09
最終更新日	2026年6月24日5:48

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:mattermost:mattermost_server::::::::	10.11.0			10.11.18
cpe:2.3:a:mattermost:mattermost_server::::::::	11.7.0			11.7.1

関連情報、対策とツール

No	URL	refsource	タグ
1	https://mattermost.com/security-updates	responsibledisclosure@mattermost.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-863	不正な認証	https://cwe.mitre.org/data/definitions/863.html

JVN脆弱性情報

Mattermost, Inc.のMattermost Serverにおける不正な認証に関する脆弱性

タイトル	Mattermost, Inc.のMattermost Serverにおける不正な認証に関する脆弱性
概要	Mattermostのバージョン11.7.xのうち11.7.0以下、および10.11.xのうち10.11.17以下には、ユーザーアクティブステータスエンドポイントに対するボット固有の権限チェックが適切に行われていない脆弱性があります。この脆弱性により、統合アクセス権を持たないユーザーマネージャーがユーザー管理の書き込み権限を利用して、PUT /api/v4/users/{id}/active APIエンドポイントを通じてボットアカウントを非アクティブ化できる可能性があります。
想定される影響	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアの一部が停止する可能性があります。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月22日0:00
登録日	2026年6月26日11:52
最終更新日	2026年6月26日11:52

影響を受けるシステム

Mattermost, Inc.

Mattermost Server 10.11.0 以上 10.11.18 未満

Mattermost Server 11.7.0 以上 11.7.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-8074	https://www.cve.org/CVERecord?id=CVE-2026-8074
National Vulnerability Database (NVD)
2	CVE-2026-8074	https://nvd.nist.gov/vuln/detail/CVE-2026-8074

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-863	https://cwe.mitre.org/data/definitions/863.html

ベンダー情報

No	名前	URL
Security Updates
1	Security Updates	https://mattermost.com/security-updates

変更履歴

No	変更内容	変更日
1	[2026年06月26日] 掲載	2026年6月26日11:52