Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-16337

Опубликовано: 26 сент. 2025
Источник: fstec
CVSS3: 4.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость функции handleServeStandalone() плагина Mattermost Calls приложения для обмена мгновенными сообщениями Mattermost связана с подделкой межсайтовых запросов при обработке заголовка X-Calls-E2E: true. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить CSRF-атаку

Вендор

Mattermost Inc

Наименование ПО

Mattermost
Mattermost Calls

Версия ПО

от 11.0.0 до 11.0.4 (Mattermost)
от 10.12.0 до 10.12.2 включительно (Mattermost)
от 10.11.0 до 10.11.6 (Mattermost)
до 1.10.0 (Mattermost Calls)

Тип ПО

Сетевое средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 4,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для плагина Mattermost Calls:
https://github.com/mattermost/mattermost-plugin-calls/releases/tag/v1.11.0
https://github.com/mattermost/mattermost-plugin-calls/commit/429cfaf2a301a369414d1ca18a3364e85901c8d1
Для Mattermost:
https://mattermost.com/security-updates
https://github.com/mattermost/mattermost/releases

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 4%
0.00018
Низкий

4.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-62190

CVSS3: 4.3
nvd
около 2 месяцев назад

Mattermost versions 11.0.x <= 11.0.4, 10.12.x <= 10.12.2, 10.11.x <= 10.11.6 and Mattermost Calls versions <=1.10.0 fail to implement CSRF protection on the Calls widget page which allows an authenticated attacker to initiate calls and inject messages into channels or direct messages via a malicious webpage or crafted link

debian логотип

CVE-2025-62190

CVSS3: 4.3
debian
около 2 месяцев назад

Mattermost versions 11.0.x <= 11.0.4, 10.12.x <= 10.12.2, 10.11.x <= 1 ...

github логотип

GHSA-gmx5-frv9-9m9f

CVSS3: 4.3
github
около 2 месяцев назад

Mattermost has CSRF vulnerability via Calls Widget page

EPSS

Процентиль: 4%
0.00018
Низкий

4.3 Medium

CVSS3

5 Medium

CVSS2