Mattermost version 6.4.x and earlier fails to properly check the plugin version when a plugin is installed from the Marketplace, which allows an authenticated and an authorized user to install and exploit an old plugin version from the Marketplace which might have known vulnerabilities.
oryginał ENCVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:LMattermost Server
APPMattermost< 6.5.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Powiązane podatności
CVE-2025-12419CRITICAL9.9PL ✓ten sam produkt
Mattermost Server: przejęcie konta przez błędną walidację OAuth state token
CVE-2025-12421CRITICAL9.9PL ✓ten sam produkt
Mattermost Server — przejęcie konta przez błąd weryfikacji tokenu OAuth (account takeover)
CVE-2025-4981CRITICAL9.9PL ✓ten sam produkt
Mattermost Server: path traversal w ekstraktorze archiwów umożliwia RCE
CVE-2025-24490CRITICAL9.6PL ✓ten sam produkt
SQL Injection w Mattermost Server — podatność przy zmianie kolejności tablic
CVE-2025-20051CRITICAL9.9PL ✓ten sam produkt
Mattermost Server: path traversal przy duplikowaniu bloków w Boards