Plataforma
go
Componente
github.com/mattermost/mattermost-plugin-calls
Corregido en
11.0.5
10.12.3
10.11.7
1.10.0
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el widget Calls del plugin Calls de Mattermost. Esta vulnerabilidad permite a un atacante, aprovechando una solicitud maliciosa, ejecutar acciones en nombre de un usuario autenticado sin su consentimiento. La vulnerabilidad afecta a versiones anteriores a 1.10.0 y se recomienda actualizar a la versión corregida para mitigar el riesgo.
Un atacante podría explotar esta vulnerabilidad para realizar acciones no autorizadas en la instancia de Mattermost, como modificar la configuración del plugin Calls, iniciar llamadas en nombre de un usuario o acceder a información sensible. El impacto potencial depende de los permisos del usuario afectado y de la configuración de la instancia de Mattermost. La explotación exitosa requiere que el usuario afectado visite una página web maliciosa o abra un enlace manipulado, lo que podría ser distribuido a través de correo electrónico o redes sociales. La severidad de la vulnerabilidad se ve agravada por la posibilidad de que un atacante pueda comprometer cuentas de administrador si el usuario afectado tiene privilegios elevados.
La vulnerabilidad fue publicada el 30 de diciembre de 2025. No se ha reportado actividad de explotación activa en campañas conocidas. No se encuentra listada en el KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles intentos de explotación.
Organizations heavily reliant on the Mattermost Calls Widget for internal or external communication are at increased risk. Specifically, deployments with limited security controls or those lacking robust CSRF protection mechanisms are particularly vulnerable. Teams using older versions of the Calls Widget plugin without regular security updates are also at significant risk.
• go / server: Examine Mattermost plugin logs for unusual call initiation requests or modifications to call settings. Look for requests originating from unexpected sources or with suspicious parameters.
journalctl -u mattermost -f | grep "Calls Widget"• generic web: Monitor Mattermost instance access logs for requests to the Calls Widget endpoints with unusual HTTP referer headers. A referer header not originating from the Mattermost domain could indicate a CSRF attempt.
curl -I <mattermost_calls_widget_url> | grep Refererdisclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Calls de Mattermost a la versión 1.10.0 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de las entradas del usuario y la implementación de políticas de seguridad de contenido (CSP) para restringir las fuentes de contenido que pueden ser cargadas por el navegador. Además, se recomienda educar a los usuarios sobre los riesgos de los ataques CSRF y cómo identificar y evitar sitios web maliciosos. Tras la actualización, verifique la integridad del plugin Calls mediante la comprobación de la versión instalada y la revisión de los registros de eventos en busca de actividades sospechosas.
Actualice Mattermost a la última versión disponible. Las versiones 11.0.5, 10.12.3, 10.11.7 y superiores contienen la corrección para esta vulnerabilidad CSRF. Consulte el anuncio de seguridad de Mattermost para obtener más detalles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-62190 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el widget Calls del plugin Calls de Mattermost, permitiendo a atacantes ejecutar acciones no autorizadas.
Sí, si está utilizando Mattermost con el plugin Calls en una versión anterior a 1.10.0, es vulnerable a esta vulnerabilidad.
Actualice el plugin Calls de Mattermost a la versión 1.10.0 o superior. Implemente medidas de seguridad adicionales como CSP si la actualización no es inmediata.
Hasta el momento, no se ha reportado actividad de explotación activa en campañas conocidas, pero se recomienda monitorear las fuentes de inteligencia de amenazas.
Consulte la documentación oficial de Mattermost y su página de seguridad para obtener información actualizada sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.