GHSA-jf5h-xfw4-p8gp

Опубликовано: 17 дек. 2025

Источник: github

Github: Прошло ревью

CVSS3: 3

Описание

Mattermost GitHub Plugin Bot Identity Validation Bypass Allows Arbitrary GitHub Reaction Injection

Mattermost versions 10.11.x <= 10.11.6 and Mattermost GitHub plugin versions <=2.4.0 fail to validate plugin bot identity in reaction forwarding which allows attackers to hijack the GitHub reaction feature to make users add reactions to arbitrary GitHub objects via crafted notification posts.

Ссылки

Пакеты

Наименование

github.com/mattermost/mattermost/server/v8

Затронутые версииВерсия исправления

>= 10.11.0-rc1, < 10.11.7-0.20251106103514-3b05384dd014

10.11.7-0.20251106103514-3b05384dd014

Наименование

github.com/mattermost/mattermost

Затронутые версииВерсия исправления

< 10.11.7-0.20251106103514-3b05384dd014

10.11.7-0.20251106103514-3b05384dd014

Наименование

github.com/mattermost/mattermost

Затронутые версииВерсия исправления

>= 11.0.0-alpha.1, < 11.1.0

11.1.0

Наименование

github.com/mattermost/mattermost-plugin-github

Затронутые версииВерсия исправления

< 1.0.1-0.20250829075715-0deffcfc6bee

1.0.1-0.20250829075715-0deffcfc6bee

EPSS

Процентиль: 17%

0.00054

Низкий

3 Low

CVSS3

CVE ID

CVE-2025-13352

Дефекты

CWE-1287

Связанные уязвимости

CVE-2025-13352

CVSS3: 3

nvd

около 2 месяцев назад

CVE-2025-13352

CVSS3: 3

debian

около 2 месяцев назад

Mattermost versions 10.11.x <= 10.11.6 and Mattermost GitHub plugin ve ...

BDU:2025-16347

CVSS3: 3

fstec

6 месяцев назад

Уязвимость плагина Mattermost GitHub Plugin приложения для обмена мгновенными сообщениями Mattermost, связанная с недостаточной проверкой заданного типа входных данных, позволяющая нарушителю обойти ограничения безопасности и получить доступ на чтение и изменение данных

EPSS

Процентиль: 17%

0.00054

Низкий

3 Low

CVSS3

CVE ID

CVE-2025-13352

Дефекты

CWE-1287