ГлавнаяБаза уязвимостей БДУ → BDU:2025-16337
5средняя

BDU:2025-16337

Уязвимость функции handleServeStandalone() плагина Mattermost Calls приложения для обмена мгновенными сообщениями Mattermost, позволяющая нарушителю осуществить CSRF-атаку
Опубликовано: 2025-12-25
Описание

Уязвимость функции handleServeStandalone() плагина Mattermost Calls приложения для обмена мгновенными сообщениями Mattermost связана с подделкой межсайтовых запросов при обработке заголовка X-Calls-E2E: true. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить CSRF-атаку

Затрагиваемое ПО и версии
Mattermost (от 11.0.0 до 11.0.4)Mattermost (от 10.12.0 до 10.12.2 включительно)Mattermost (от 10.11.0 до 10.11.6)Mattermost Calls (до 1.10.0)
Способ устранения

Использование рекомендаций:
Для плагина Mattermost Calls:
https://github.com/mattermost/mattermost-plugin-calls/releases/tag/v1.11.0
https://github.com/mattermost/mattermost-plugin-calls/commit/429cfaf2a301a369414d1ca18a3364e85901c8d1

Для Mattermost:
https://mattermost.com/security-updates
https://github.com/mattermost/mattermost/releases

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://mattermost.com/security-updateshttps://github.com/mattermost/mattermost-plugin-calls/pull/1085https://github.com/mattermost/mattermost-plugin-calls/pull/1085/commits/b6188d2b1e4a2fcd1c8476c8cb546cc9260a9f55
Проверьте безопасность своего сайта и почты → Полная проверка домена