Er is een belangrijke kwetsbaarheid ontdekt in Mattermost-implementaties, met mogelijke gevolgen voor uw teambeheerders. Door het gebrek aan juiste sanering in de POST /api/v4/teams/:teamId/restore endpoint kunnen teamadmins zonder liduitnodigingsrechten toegang krijgen tot de uitnodigings-ID van het team. Dit is aangemerkt als CVE-2025-47870.
Overzicht
De getroffen versies zijn Mattermost 10.8.x tot en met 10.8.3, 10.5.x tot en met 10.5.8, 9.11.x tot en met 9.11.17, en 10.9.x tot en met 10.9.2. Het probleem wordt veroorzaakt door het ontbreken van authenticatie voor een kritieke functie, aangeduid als CWE-306.
Aanbevelingen
- Werk uw Mattermost-installatie bij naar een van de volgende versies of hoger: 10.10.0, 10.8.4, 10.5.9, 9.11.18 of 10.9.3.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-47870?
Dit is een bekende kwetsbaarheid in bepaalde versies van Mattermost die een ongeautoriseerde teamadmin toegang kan geven tot de uitnodigings-ID van het team.
Welke systemen zijn kwetsbaar voor CVE-2025-47870?
Systemen waarop Mattermost versies 10.8.x <= 10.8.3, 10.5.x <= 10.5.8, 9.11.x <= 9.11.17, en 10.9.x <= 10.9.2 draaien.
Bestaat er al een patch of beveiligingsupdate?
Ja, het is aanbevolen om te upgraden naar Mattermost versie 10.10.0, 10.8.4, 10.5.9, 9.11.18 of 10.9.3.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder uw weten toegang krijgen tot de uitnodigingsgegevens van het team, wat mogelijke beveiligingsrisico’s met zich mee kan brengen.
