Уязвимость функции handleServeStandalone() плагина Mattermost Calls приложения для обмена мгновенными сообщениями Mattermost связана с подделкой межсайтовых запросов при обработке заголовка X-Calls-E2E: true. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить CSRF-атаку
Использование рекомендаций:
Для плагина Mattermost Calls:
https://github.com/mattermost/mattermost-plugin-calls/releases/tag/v1.11.0
https://github.com/mattermost/mattermost-plugin-calls/commit/429cfaf2a301a369414d1ca18a3364e85901c8d1
Для Mattermost:
https://mattermost.com/security-updates
https://github.com/mattermost/mattermost/releases
| Балл | 5 — средняя опасность |