GHSA-f72g-52v7-mg3p

Опубликовано: 19 сент. 2025

Источник: github

Github: Прошло ревью

CVSS3: 3.1

Описание

Mattermost boards plugin fails to restrict download access to files

Mattermost versions 10.5.x <= 10.5.8, 9.11.x <= 9.11.17 fail to properly validate access controls which allows any authenticated user to download sensitive files via board file download endpoint using UUID enumeration

Ссылки

Пакеты

Наименование

github.com/mattermost/mattermost-plugin-boards

Затронутые версииВерсия исправления

< 0.0.0-20250716054606-3f3e3becfe1d

0.0.0-20250716054606-3f3e3becfe1d

Наименование

github.com/mattermost/mattermost/server/v8

Затронутые версииВерсия исправления

< 8.0.0-20250721095935-11c36f4d1e44

8.0.0-20250721095935-11c36f4d1e44

Наименование

github.com/mattermost/mattermost-server

Затронутые версииВерсия исправления

>= 10.5.0-rc1, < 10.5.9

10.5.9

Наименование

github.com/mattermost/mattermost-server

Затронутые версииВерсия исправления

>= 9.11.0-rc1, < 9.11.18

9.11.18

EPSS

Процентиль: 3%

0.00017

Низкий

3.1 Low

CVSS3

CVE ID

CVE-2025-9081

Дефекты

CWE-639

Связанные уязвимости

CVE-2025-9081

CVSS3: 3.1

nvd

5 месяцев назад

CVE-2025-9081

CVSS3: 3.1

debian

5 месяцев назад

Mattermost versions 10.5.x <= 10.5.8, 9.11.x <= 9.11.17 fail to proper ...

EPSS

Процентиль: 3%

0.00017

Низкий

3.1 Low

CVSS3

CVE ID

CVE-2025-9081

Дефекты

CWE-639