Alvorlige sårbarheder i Mattermost

Eskil Sørensen

10.20.2025 11:15

Kan medføre brugere uden tilladelse i et Mattermost-team.

Der er observeret flere alvorlige sårbarheder i Mattermost. Sårbarhederne medfører, at det ikke verificeres, om en bruger har tilladelse til at deltage i et Mattermost-team

Sårbarhederne har id'erne EUVD-2025-34740 (CVE-2025-58073) og EUVD-2025-34729 (CVE-2025-58075) og begge en CVSS-score på 8,1.

De berørte systemer er følgende

Mattermost 10.10.0 ≤ 10.10.2
Mattermost 10.11.0 ≤ 10.11.1
Mattermost 10.5.0 ≤ 10.5.10

De berørte versioner af Mattermost kan ikke verificere, om en bruger har tilladelse til at deltage i et Mattermost-team ved hjælp af den oprindelige invitationstoken. Dette gør det muligt for en ondsindet aktør ved at manipulere OAuth eller RelayState-tilstanden at deltage i ethvert team på en Mattermost-server uanset begrænsninger.

Det anbefales at opdatere sårbare installation med det samme, ifølge producentens anvisninger.

Læs mere

https://mattermost.com/security-updates/

Sårbarhed