An issue was discovered in Mattermost Server before 5.18.0, 5.17.2, 5.16.4, 5.15.4, and 5.9.7. An attacker can spoof a direct-message channel by changing the type of a channel.
oryginał ENCVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:NMattermost Server
APPMattermost5.18.0< 5.9.75.15.0 – 5.15.4 (bez)5.16.0 – 5.16.4 (bez)5.17.0 – 5.17.2 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Powiązane podatności
CVE-2025-12419CRITICAL9.9PL ✓ten sam produkt
Mattermost Server: przejęcie konta przez błędną walidację OAuth state token
CVE-2025-12421CRITICAL9.9PL ✓ten sam produkt
Mattermost Server — przejęcie konta przez błąd weryfikacji tokenu OAuth (account takeover)
CVE-2025-4981CRITICAL9.9PL ✓ten sam produkt
Mattermost Server: path traversal w ekstraktorze archiwów umożliwia RCE
CVE-2025-24490CRITICAL9.6PL ✓ten sam produkt
SQL Injection w Mattermost Server — podatność przy zmianie kolejności tablic
CVE-2025-20051CRITICAL9.9PL ✓ten sam produkt
Mattermost Server: path traversal przy duplikowaniu bloków w Boards