CRITICAL✓ PATCH🇬🇧 English

CVE-2025-12419

Mattermost Server: przejęcie konta przez błędną walidację OAuth state token

CVSS 9.9v3.1pub. 2025-11-27upd. 2025-12-03

Podatność w Mattermost Server pozwala uwierzytelnionemu atakującemu z uprawnieniami do tworzenia zespołów na przejęcie cudzego konta użytkownika poprzez manipulację danymi uwierzytelniającymi w trakcie przepływu OAuth/OpenID Connect. Podatność uzyskała ocenę CVSS 9.9 (CRITICAL) z uwagi na pełny zakres kompromitacji poufności, integralności i dostępności z rozszerzonym zasięgiem.

Pokaż oryginał (EN)

Mattermost versions 10.12.x <= 10.12.1, 10.11.x <= 10.11.4, 10.5.x <= 10.5.12, 11.0.x <= 11.0.3 fail to properly validate OAuth state tokens during OpenID Connect authentication which allows an authenticated attacker with team creation privileges to take over a user account via manipulation of authentication data during the OAuth completion flow. This requires email verification to be disabled (default: disabled), OAuth/OpenID Connect to be enabled, and the attacker to control two users in the SSO system with one of them never having logged into Mattermost.

🤖 Analiza AI
Jak działa

Aplikacja nieprawidłowo waliduje tokeny stanu OAuth (OAuth state tokens) podczas uwierzytelniania przez OpenID Connect (CWE-303: incorrect implementation of authentication algorithm). Atakujący, kontrolując dwa konta w systemie SSO — przy czym jedno z nich nigdy wcześniej nie logowało się do Mattermost — jest w stanie manipulować danymi przesyłanymi podczas fazy finalizacji przepływu OAuth. W rezultacie system błędnie kojarzy tożsamość ofiary z sesją atakującego, prowadząc do przejęcia konta. Atak jest możliwy wyłącznie gdy: weryfikacja adresu e-mail jest wyłączona (domyślnie wyłączona), OAuth/OpenID Connect jest włączony, a atakujący posiada uprawnienia do tworzenia zespołów.

Skutki

Atakujący może w pełni przejąć konto innego użytkownika Mattermost, uzyskując dostęp do jego wiadomości, kanałów i danych, a także możliwość działania w jego imieniu. Ze względu na rozszerzony zasięg (Scope: Changed) skutki mogą wykraczać poza samą aplikację.

Mitygacja

Należy zaktualizować Mattermost Server do wersji wyższych niż 10.12.1, 10.11.4, 10.5.12 lub 11.0.3 zgodnie z informacjami dostępnymi na stronie producenta (https://mattermost.com/security-updates). Do czasu wdrożenia patcha można ograniczyć ryzyko przez włączenie weryfikacji adresu e-mail lub wyłączenie OAuth/OpenID Connect, jeśli nie jest wymagany.

Kogo dotyczy

Mattermost Server w wersjach: 10.12.x <= 10.12.1, 10.11.x <= 10.11.4, 10.5.x <= 10.5.12, 11.0.x <= 11.0.3

Uwagi

Atak wymaga spełnienia kilku warunków jednocześnie: wyłączonej weryfikacji e-mail (co jest stanem domyślnym), włączonego OAuth/OpenID Connect oraz kontroli przez atakującego dwóch kont w systemie SSO, z czego jedno nigdy nie logowało się do Mattermost. Pomimo wysokiego wyniku CVSS, wymagania wstępne istotnie zawężają powierzchnię ataku.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Mattermost Server

    APP
    Mattermost
    10.5.0 – 10.5.13 (bez)10.11.0 – 10.11.5 (bez)10.12.0 – 10.12.2 (bez)11.0.0 – 11.0.4 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-12421CRITICAL9.9PL ✓ten sam produkt

Mattermost Server — przejęcie konta przez błąd weryfikacji tokenu OAuth (account takeover)

CVE-2025-4981CRITICAL9.9PL ✓ten sam produkt

Mattermost Server: path traversal w ekstraktorze archiwów umożliwia RCE

CVE-2025-25279CRITICAL9.9PL ✓ten sam produkt

Mattermost Server — path traversal przy imporcie tablic (Boards)

CVE-2025-20051CRITICAL9.9PL ✓ten sam produkt

Mattermost Server: path traversal przy duplikowaniu bloków w Boards

CVE-2025-24490CRITICAL9.6PL ✓ten sam produkt

SQL Injection w Mattermost Server — podatność przy zmianie kolejności tablic