СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
26.09.2025

Уязвимость BDU:2025-16337

Уязвимость BDU:2025-16337

Идентификатор: BDU:2025-16337.

Наименование уязвимости: Уязвимость функции handleServeStandalone() плагина Mattermost Calls приложения для обмена мгновенными сообщениями Mattermost, позволяющая нарушителю осуществить CSRF-атаку.

Описание уязвимости: Уязвимость функции handleServeStandalone() плагина Mattermost Calls приложения для обмена мгновенными сообщениями Mattermost связана с подделкой межсайтовых запросов при обработке заголовка X-Calls-E2E: true. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить CSRF-атаку
Уязвимое ПО: Сетевое средство, Сетевое программное средство Mattermost Inc Mattermost от 11.0.0 до 11.0.4 | Сетевое средство, Сетевое программное средство Mattermost Inc Mattermost от 10.12.0 до 10.12.2 включительно | Сетевое средство, Сетевое программное средство Mattermost Inc Mattermost от 10.11.0 до 10.11.6 | Прикладное ПО информационных систем Mattermost Inc Mattermost Calls до 1.10.0 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 26.09.2025.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:P/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 4,3)

Возможные меры по устранению:
Использование рекомендаций:
Для плагина Mattermost Calls:
https://github.com/mattermost/mattermost-plugin-calls/releases/tag/v1.11.0
https://github.com/mattermost/mattermost-plugin-calls/commit/429cfaf2a301a369414d1ca18a3364e85901c8d1

Для Mattermost:
https://mattermost.com/security-updates
https://github.com/mattermost/mattermost/releases.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-62190.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://mattermost.com/security-updates
https://github.com/mattermost/mattermost-plugin-calls/pull/1085
https://github.com/mattermost/mattermost-plugin-calls/pull/1085/commits/b6188d2b1e4a2fcd1c8476c8cb546cc9260a9f55

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: