CVE-2025-64641

Опубликовано: 24 дек. 2025

Источник: nvd

CVSS3: 4.1

EPSS Низкий

Описание

Mattermost versions 11.1.x <= 11.1.0, 11.0.x <= 11.0.5, 10.12.x <= 10.12.3, 10.11.x <= 10.11.7 fail to verify that post actions invoking /share-issue-publicly were created by the Jira plugin which allowed a malicious Mattermost user to exfiltrate Jira tickets when victim users interacted with affected posts

Ссылки

https://mattermost.com/security-updates
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*

Версия от 10.11.0 (включая) до 10.11.8 (исключая)

cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*

Версия от 10.12.0 (включая) до 10.12.4 (исключая)

cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*

Версия от 11.0.0 (включая) до 11.0.6 (исключая)

cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:*

Версия от 11.1.0 (включая) до 11.1.1 (исключая)

EPSS

Процентиль: 11%

0.00036

Низкий

4.1 Medium

CVSS3

Дефекты

CWE-863

Связанные уязвимости

CVE-2025-64641

CVSS3: 4.1

debian

4 месяца назад

Mattermost versions 11.1.x <= 11.1.0, 11.0.x <= 11.0.5, 10.12.x <= 10. ...

GHSA-vww6-79rv-3j4x

CVSS3: 4.1

github

4 месяца назад

Mattermost doesn't verify that post actions invoking `/share-issue-publicly` were created by the Jira plugin

EPSS

Процентиль: 11%

0.00036

Низкий

4.1 Medium

CVSS3

Дефекты

CWE-863