Vulnerabilidad en Mattermost (CVE-2025-47871)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/06/2025
Última modificación:
08/07/2025
Descripción
Las versiones de Mattermost 10.5.x <= 10.5.5, 9.11.x <= 9.11.15, 10.8.x <= 10.8.0, 10.7.x <= 10.7.2, 10.6.x <= 10.6.5 no pueden validar correctamente la membresía del canal al recuperar metadatos de ejecución del libro de estrategias, lo que permite que los usuarios autenticados que son miembros del libro de estrategias pero no miembros del canal accedan a información confidencial sobre canales privados vinculados, incluido el nombre del canal, el nombre para mostrar y el número de participantes a través del endpoint de la API de metadatos de ejecución.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:* | 9.11.0 (incluyendo) | 9.11.16 (excluyendo) |
| cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:* | 10.5.0 (incluyendo) | 10.5.6 (excluyendo) |
| cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:* | 10.6.0 (incluyendo) | 10.6.6 (excluyendo) |
| cpe:2.3:a:mattermost:mattermost_server:*:*:*:*:*:*:*:* | 10.7.0 (incluyendo) | 10.7.3 (excluyendo) |
| cpe:2.3:a:mattermost:mattermost_server:10.8.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:mattermost:mattermost_server:10.8.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:mattermost:mattermost_server:10.8.0:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:mattermost:mattermost_server:10.8.0:rc3:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página