Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-4r67-4x4p-fprg

Опубликовано: 11 июн. 2025
Источник: github
Github: Прошло ревью
CVSS3: 4.1

Описание

Mattermost allows authenticated administrator to execute LDAP search filter injection

Mattermost versions 10.7.x <= 10.7.1, 10.6.x <= 10.6.3, 10.5.x <= 10.5.4, 9.11.x <= 9.11.13 fail to properly validate LDAP group ID attributes, allowing an authenticated administrator with PermissionSysconsoleWriteUserManagementGroups permission to execute LDAP search filter injection via the PUT /api/v4/ldap/groups/{remote_id}/link API when objectGUID is configured as the Group ID Attribute.

Ссылки

Пакеты

Наименование

github.com/mattermost/mattermost/server/v8

go
Затронутые версииВерсия исправления

< 8.0.0-20250414112942-77892234944b

8.0.0-20250414112942-77892234944b

Наименование

github.com/mattermost/mattermost-server

go
Затронутые версииВерсия исправления

>= 10.7.0, < 10.7.2

10.7.2

Наименование

github.com/mattermost/mattermost-server

go
Затронутые версииВерсия исправления

>= 10.6.0, < 10.6.4

10.6.4

Наименование

github.com/mattermost/mattermost-server

go
Затронутые версииВерсия исправления

>= 10.5.0, < 10.5.5

10.5.5

Наименование

github.com/mattermost/mattermost-server

go
Затронутые версииВерсия исправления

>= 9.11.0, < 9.11.14

9.11.14

EPSS

Процентиль: 7%
0.00032
Низкий

4.1 Medium

CVSS3

CVE ID

CVE-2025-4573

Дефекты

CWE-90

Связанные уязвимости

nvd логотип

CVE-2025-4573

CVSS3: 4.1
nvd
около 2 месяцев назад

Mattermost versions 10.7.x <= 10.7.1, 10.6.x <= 10.6.3, 10.5.x <= 10.5.4, 9.11.x <= 9.11.13 fail to properly validate LDAP group ID attributes, allowing an authenticated administrator with PermissionSysconsoleWriteUserManagementGroups permission to execute LDAP search filter injection via the PUT /api/v4/ldap/groups/{remote_id}/link API when objectGUID is configured as the Group ID Attribute.

debian логотип

CVE-2025-4573

CVSS3: 4.1
debian
около 2 месяцев назад

Mattermost versions 10.7.x <= 10.7.1, 10.6.x <= 10.6.3, 10.5.x <= 10.5 ...

fstec логотип

BDU:2025-07814

CVSS3: 4.1
fstec
3 месяца назад

Уязвимость приложения для обмена мгновенными сообщениями Mattermost, связанная с непринятием мер по нейтрализации специальных элементов в запросе LDAP, позволяющая нарушителю раскрыть защищаемую информацию

EPSS

Процентиль: 7%
0.00032
Низкий

4.1 Medium

CVSS3

CVE ID

CVE-2025-4573

Дефекты

CWE-90