GHSA-6q7m-p8cc-998r

Опубликовано: 16 окт. 2025

Источник: github

Github: Прошло ревью

CVSS3: 8.1

Описание

Mattermost has a Missing Authorization vulnerability

Mattermost versions 10.11.x <= 10.11.1, 10.10.x <= 10.10.2, 10.5.x <= 10.5.10 fail to verify a user has permission to join a Mattermost team using the original invite token which allows any attacked to join any team on a Mattermost server regardless of restrictions via manipulating the OAuth state.

Ссылки

Пакеты

Наименование

github.com/mattermost/mattermost/server/v8

Затронутые версииВерсия исправления

< 8.0.0-20250807174701-e14175eb6539

8.0.0-20250807174701-e14175eb6539

Наименование

github.com/mattermost/mattermost-server

Затронутые версииВерсия исправления

>= 10.11.0, < 10.11.2

10.11.2

Наименование

github.com/mattermost/mattermost-server

Затронутые версииВерсия исправления

>= 10.10.0, < 10.10.3

10.10.3

Наименование

github.com/mattermost/mattermost-server

Затронутые версииВерсия исправления

>= 10.5.0, < 10.5.11

10.5.11

EPSS

Процентиль: 9%

0.00033

Низкий

8.1 High

CVSS3

CVE ID

CVE-2025-58073

Дефекты

CWE-862

Связанные уязвимости

CVE-2025-58073

CVSS3: 8.1

nvd

18 дней назад

CVE-2025-58073

CVSS3: 8.1

debian

18 дней назад

Mattermost versions 10.11.x <= 10.11.1, 10.10.x <= 10.10.2, 10.5.x <= ...

BDU:2025-13336

CVSS3: 8.1

fstec

18 дней назад

Уязвимость реализации протокола OAuth приложения для обмена мгновенными сообщениями Mattermost, позволяющая нарушителю обойти существующие ограничения безопасности

EPSS

Процентиль: 9%

0.00033

Низкий

8.1 High

CVSS3

CVE ID

CVE-2025-58073

Дефекты

CWE-862