De multiples vulnérabilités ont été découvertes dans les produits Mattermost, une plateforme de messagerie instantanée open source utilisée par de nombreuses organisations. L’éditeur a diffusé une série de bulletins de sécurité entre le 15 et le 21 mai 2026 afin de corriger ces failles, qui touchent à la fois le serveur et l’application de bureau.

Versions concernées Les versions vulnérables incluent plusieurs branches du serveur Mattermost : les versions 10.11.x antérieures à 10.11.17, les versions 11.5.x antérieures à 11.5.5, les versions 11.6.x antérieures à 11.6.2, ainsi que, selon un avis plus récent, les versions 10.11.x antérieures à 10.11.18, les versions 11.5.x antérieures à 11.5.6, les versions 11.6.x antérieures à 11.6.3 et les versions 11.7.x antérieures à 11.7.1.

Du côté de l’application de bureau, les versions 5.13.x antérieures à 5.13.6, les versions antérieures à 6.2, et les versions 6.x antérieures à 6.2 sont également affectées.

Nature des vulnérabilités Les bulletins de sécurité publiés par Mattermost (références MMSA-2026-00652, MMSA-2026-00662, MMSA-2026-00644, MMSA-2026-00650, MMSA-2026-00651, MMSA-2026-00654, MMSA-2026-00664, MMSA-2026-00667 et MMSA-2026-00669) ne précisent pas la nature exacte des risques encourus. Le CERT-FR, qui a émis deux avis distincts les 19 et 22 mai 2026, indique que ces vulnérabilités permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur.

Mesures recommandées Les administrateurs sont invités à appliquer sans délai les correctifs fournis par Mattermost, disponibles sur la page dédiée aux mises à jour de sécurité de l’éditeur. Il est conseillé de mettre à jour le serveur vers les versions 10.11.18, 11.5.6, 11.6.3 ou 11.7.1 selon la branche utilisée, et l’application de bureau vers la version 5.13.6 ou 6.2 selon le cas.

Contexte Mattermost est une solution de communication alternative à des services propriétaires, déployée en environnement professionnel et gouvernemental. La publication successive de plusieurs bulletins en l’espace d’une semaine souligne l’importance d’une veille sécurité active. Le CERT-FR rappelle de se référer aux bulletins de l’éditeur pour l’obtention des correctifs.