Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Mattermost (CVE-2025-3228)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/06/2025
Última modificación:
08/07/2025

Descripción

Las versiones de Mattermost 10.5.x <= 10.5.5, 9.11.x <= 9.11.15, 10.8.x <= 10.8.0, 10.7.x <= 10.7.2, 10.6.x <= 10.6.5 no pueden recuperar correctamente requestorInfo del controlador de playbooks para usuarios invitados, lo que permite que un atacante acceda a la ejecución del playbook.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:* 9.11.0 (incluyendo) 9.11.16 (excluyendo)
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:* 10.5.0 (incluyendo) 10.5.6 (excluyendo)
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:* 10.6.0 (incluyendo) 10.6.6 (excluyendo)
cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:* 10.7.0 (incluyendo) 10.7.3 (excluyendo)
cpe:2.3:a:mattermost:mattermost_server:10.8.0:-:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:10.8.0:rc1:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:10.8.0:rc2:*:*:*:*:*:*
cpe:2.3:a:mattermost:mattermost_server:10.8.0:rc3:*:*:*:*:*:*


Referencias a soluciones, herramientas e información