Een kritisch beveiligingslek, CVE-2025-36530, is ontdekt in Mattermost dat versies 10.9.1 en lager betreft. Dit kwetsbare punt kan door kwaadwillende beheerders worden gebruikt om ongeautoriseerde plugins te installeren door middel van een padtraversal, waarmee winkelbeperkingen en pluginhandtekening-verificatie worden omzeild. Deze kwetsbaarheid stelt de vertrouwelijkheid van uw systeem bloot aan potentiële risico’s.
Overzicht
In Mattermost versies 10.9.x ≤ 10.9.1, 10.8.x ≤ 10.8.3, 10.5.x ≤ 10.5.8 en 9.11.x ≤ 9.11.17 ontbreekt een juiste validatie van bestandslocaties tijdens pluginimportoperaties. Dit laat toe dat beperkte beheerders ongeautoriseerde aangepaste plugins installeren.
Aanbevelingen
- Update uw Mattermost-instantie naar versies 10.10.0, 10.9.2, 10.8.4, 10.5.9 of 9.11.18 of hoger om het risico te verhelpen.
Bronnen
- Meer informatie over deze kwetsbaarheid vindt u op de Mattermost Security Updates pagina.
- Raadpleeg het specificatieverslag voor technische details.
Vraag en Antwoord
Wat is CVE-2025-36530?
Dit CVE verwijst naar een Path Traversal kwetsbaarheid in Mattermost waarmee ongeautoriseerde plugins kunnen worden geïnstalleerd.
Welke systemen zijn kwetsbaar voor CVE-2025-36530?
Mattermost versies tot en met 10.9.1, 10.8.3, 10.5.8 en 9.11.17 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, update naar de nieuwe versies zoals hierboven aanbevolen om het probleem op te lossen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongeautoriseerde en niet-ondertekende plugins installeren, waarmee potentiële ongewenste toegang tot uw systeem kan worden verkregen.
