GHSA-xr3w-rmvj-f6m7

Опубликовано: 16 окт. 2025

Источник: github

Github: Прошло ревью

CVSS3: 3.1

Описание

Mattermost has an Observable Timing Discrepancy vulnerability

Mattermost versions 10.5.x <= 10.5.10, 10.11.x <= 10.11.2 fail to use constant-time comparison for sensitive string comparisons which allows attackers to exploit timing oracles to perform byte-by-byte brute force attacks via response time analysis on Cloud API keys and OAuth client secrets.

Ссылки

Пакеты

Наименование

github.com/mattermost/mattermost/server/v8

Затронутые версииВерсия исправления

< 8.0.0-20250728063359-38208b8f065f

8.0.0-20250728063359-38208b8f065f

Наименование

github.com/mattermost/mattermost-server

Затронутые версииВерсия исправления

>= 10.5.0, < 10.5.11

10.5.11

Наименование

github.com/mattermost/mattermost-server

Затронутые версииВерсия исправления

>= 10.11.0, < 10.11.3

10.11.3

EPSS

Процентиль: 11%

0.00037

Низкий

3.1 Low

CVSS3

CVE ID

CVE-2025-54499

Дефекты

CWE-208

Связанные уязвимости

CVE-2025-54499

CVSS3: 3.1

nvd

2 месяца назад

CVE-2025-54499

CVSS3: 3.1

debian

2 месяца назад

Mattermost versions 10.5.x <= 10.5.10, 10.11.x <= 10.11.2 fail to use ...

BDU:2025-13339

CVSS3: 3.1

fstec

2 месяца назад

Уязвимость приложения для обмена мгновенными сообщениями Mattermost, связанная с недостаточной защитой служебных данных, позволяющая нарушителю реализовать атаку методом «грубой силы» (brute force)

EPSS

Процентиль: 11%

0.00037

Низкий

3.1 Low

CVSS3

CVE ID

CVE-2025-54499

Дефекты

CWE-208