Mattermost bis 9.11.8/10.3.3/10.4.2 Archived Channel erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.2 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine als kritisch klassifizierte Schwachstelle in Mattermost bis 9.11.8/10.3.3/10.4.2 entdeckt. Das betrifft eine unbekannte Funktionalität der Komponente Archived Channel Handler. Durch die Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle wird mit CVE-2025-25274 vorgenommen. Der Angriff kann über das Netzwerk angegangen werden. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Es wurde eine kritische Schwachstelle in Mattermost bis 9.11.8/10.3.3/10.4.2 entdeckt. Es geht dabei um ein unbekannter Teil der Komponente Archived Channel Handler. Durch das Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-863 vorgenommen. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Mattermost versions 10.4.x <= 10.4.2, 10.3.x <= 10.3.3, 9.11.x <= 9.11.8 fail to restrict command execution in archived channels, which allows authenticated users to run commands in archived channels.Die Schwachstelle wurde durch hackit_bharat publik gemacht. Auf mattermost.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 20.03.2025 unter CVE-2025-25274 geführt. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 233455 (Mattermost Server 9.11.x < 9.11.9 / 10.3.x < 10.3.4 / 10.4.x < 10.4.3 (MMSA-2025-00421)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Upgrade auf die Version 9.11.9, 10.3.4, 10.4.3 oder 10.5.0 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (233455) dokumentiert. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Typ
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.2
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 4.3
CNA Vector (Mattermost): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-863 / CWE-285 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 233455
Nessus Name: Mattermost Server 9.11.x < 9.11.9 / 10.3.x < 10.3.4 / 10.4.x < 10.4.3 (MMSA-2025-00421)
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Mattermost 9.11.9/10.3.4/10.4.3/10.5.0
Timeline
20.03.2025 🔍21.03.2025 🔍
21.03.2025 🔍
28.03.2025 🔍
Quellen
Advisory: mattermost.comPerson: hackit_bharat
Status: Bestätigt
CVE: CVE-2025-25274 (🔍)
GCVE (CVE): GCVE-0-2025-25274
GCVE (VulDB): GCVE-100-300582
Eintrag
Erstellt: 21.03.2025 10:00Aktualisierung: 28.03.2025 23:01
Anpassungen: 21.03.2025 10:00 (64), 28.03.2025 23:01 (2)
Komplett: 🔍
Cache ID: 216:7FC:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.