Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-15205

Опубликовано: 28 окт. 2025
Источник: fstec
CVSS3: 9.9
CVSS2: 9
EPSS Низкий

Описание

Уязвимость приложения для обмена мгновенными сообщениями Mattermost связана с неправильной реализацией алгоритма аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации

Вендор

Mattermost Inc

Наименование ПО

Mattermost

Версия ПО

от 11.0.0 до 11.0.3 включительно (Mattermost)
от 10.5.0 до 10.5.12 включительно (Mattermost)
от 10.11.0 до 10.11.4 включительно (Mattermost)
от 10.12.0 до 10.12.1 включительно (Mattermost)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://mattermost.com/security-updates
https://github.com/mattermost/mattermost/releases

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 22%
0.00071
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-12419

CVSS3: 9.9
nvd
22 дня назад

Mattermost versions 10.12.x <= 10.12.1, 10.11.x <= 10.11.4, 10.5.x <= 10.5.12, 11.0.x <= 11.0.3 fail to properly validate OAuth state tokens during OpenID Connect authentication which allows an authenticated attacker with team creation privileges to take over a user account via manipulation of authentication data during the OAuth completion flow. This requires email verification to be disabled (default: disabled), OAuth/OpenID Connect to be enabled, and the attacker to control two users in the SSO system with one of them never having logged into Mattermost.

debian логотип

CVE-2025-12419

CVSS3: 9.9
debian
22 дня назад

Mattermost versions 10.12.x <= 10.12.1, 10.11.x <= 10.11.4, 10.5.x <= ...

github логотип

GHSA-3x39-62h4-f8j6

CVSS3: 9.9
github
22 дня назад

Mattermost fails to properly validate OAuth state tokens during OpenID Connect authentication

EPSS

Процентиль: 22%
0.00071
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2