Mattermost versions 10.6.x <= 10.6.1, 10.5.x <= 10.5.2, 10.4.x <= 10.4.4, 9.11.x <= 9.11.11 fail to lockout LDAP users following repeated login failures, which allows attackers to lock external LDAP accounts through repeated login failures through Mattermost.
oryginał ENCVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:LMattermost Server
APPMattermost9.11.0 – 9.11.12 (bez)10.4.0 – 10.4.5 (bez)10.5.0 – 10.5.3 (bez)10.6.0 – 10.6.2 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje
Powiązane podatności
CVE-2025-12419CRITICAL9.9PL ✓ten sam produkt
Mattermost Server: przejęcie konta przez błędną walidację OAuth state token
CVE-2025-12421CRITICAL9.9PL ✓ten sam produkt
Mattermost Server — przejęcie konta przez błąd weryfikacji tokenu OAuth (account takeover)
CVE-2025-4981CRITICAL9.9PL ✓ten sam produkt
Mattermost Server: path traversal w ekstraktorze archiwów umożliwia RCE
CVE-2025-24490CRITICAL9.6PL ✓ten sam produkt
SQL Injection w Mattermost Server — podatność przy zmianie kolejności tablic
CVE-2025-20051CRITICAL9.9PL ✓ten sam produkt
Mattermost Server: path traversal przy duplikowaniu bloków w Boards