GHSA-r6qj-894f-5hr2

Опубликовано: 16 окт. 2025

Источник: github

Github: Прошло ревью

CVSS3: 8.1

Описание

Mattermost has a Missing Authorization vulnerability

Mattermost versions 10.11.x <= 10.11.1, 10.10.x <= 10.10.2, 10.5.x <= 10.5.10 fail to verify a user has permission to join a Mattermost team using the original invite token which allows any attacked to join any team on a Mattermost server regardless of restrictions via manipulating the RelayState.

Ссылки

Пакеты

Наименование

github.com/mattermost/mattermost/server/v8

Затронутые версииВерсия исправления

< 8.0.0-20250815100400-2d5cdc6e217e

8.0.0-20250815100400-2d5cdc6e217e

Наименование

github.com/mattermost/mattermost-server

Затронутые версииВерсия исправления

>= 10.11.0, < 10.11.2

10.11.2

Наименование

github.com/mattermost/mattermost-server

Затронутые версииВерсия исправления

>= 10.10.0, < 10.10.3

10.10.3

Наименование

github.com/mattermost/mattermost-server

Затронутые версииВерсия исправления

>= 10.5.0, < 10.5.11

10.5.11

EPSS

Процентиль: 11%

0.00038

Низкий

8.1 High

CVSS3

CVE ID

CVE-2025-58075

Дефекты

CWE-862

Связанные уязвимости

CVE-2025-58075

CVSS3: 8.1

nvd

2 месяца назад

CVE-2025-58075

CVSS3: 8.1

debian

2 месяца назад

Mattermost versions 10.11.x <= 10.11.1, 10.10.x <= 10.10.2, 10.5.x <= ...

BDU:2025-13332

CVSS3: 8.1

fstec

2 месяца назад

Уязвимость приложения для обмена мгновенными сообщениями Mattermost, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти существующие ограничения безопасности

EPSS

Процентиль: 11%

0.00038

Низкий

8.1 High

CVSS3

CVE ID

CVE-2025-58075

Дефекты

CWE-862