Plateforme
go
Composant
github.com/mattermost/mattermost-plugin-calls
Corrigé dans
11.0.5
10.12.3
10.11.7
1.10.0
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le plugin Calls de Mattermost, affectant les versions antérieures à 1.10.0. Cette faille permet à un attaquant d'exploiter la page du widget Calls pour exécuter des actions non autorisées au nom d'un utilisateur authentifié. La mise à jour vers la version 1.10.0 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité CSRF pourrait permettre à un attaquant de modifier des paramètres de configuration, de créer ou de supprimer des appels, ou d'effectuer d'autres actions au nom d'un utilisateur Mattermost. L'impact dépendra des privilèges de l'utilisateur compromis. Un attaquant pourrait potentiellement compromettre des données sensibles ou perturber le fonctionnement normal de la plateforme de communication Mattermost. Bien que le plugin Calls soit souvent utilisé pour des réunions vidéo, l'exploitation de cette vulnérabilité pourrait également affecter d'autres fonctionnalités du plugin.
La vulnérabilité a été rendue publique le 30 décembre 2025. Aucune preuve d'exploitation active n'est actuellement disponible. Le score de probabilité d'exploitation est considéré comme modéré, compte tenu de la nature courante des attaques CSRF et de la disponibilité potentielle d'outils d'exploitation. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
Organizations heavily reliant on the Mattermost Calls Widget for internal or external communication are at increased risk. Specifically, deployments with limited security controls or those lacking robust CSRF protection mechanisms are particularly vulnerable. Teams using older versions of the Calls Widget plugin without regular security updates are also at significant risk.
• go / server: Examine Mattermost plugin logs for unusual call initiation requests or modifications to call settings. Look for requests originating from unexpected sources or with suspicious parameters.
journalctl -u mattermost -f | grep "Calls Widget"• generic web: Monitor Mattermost instance access logs for requests to the Calls Widget endpoints with unusual HTTP referer headers. A referer header not originating from the Mattermost domain could indicate a CSRF attempt.
curl -I <mattermost_calls_widget_url> | grep Refererdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour le plugin Calls vers la version 1.10.0 ou supérieure. En attendant, des mesures d'atténuation peuvent être mises en œuvre. Il est recommandé d'implémenter des contrôles de validation CSRF supplémentaires sur la page du widget Calls. L'utilisation de politiques de sécurité de contenu (CSP) peut également aider à réduire le risque d'attaques CSRF. Surveillez attentivement les journaux d'activité de Mattermost pour détecter toute activité suspecte.
Mettez à jour Mattermost vers la dernière version disponible. Les versions 11.0.5, 10.12.3, 10.11.7 et supérieures contiennent la correction pour cette vulnérabilité CSRF. Consultez l'annonce de sécurité de Mattermost pour plus de détails.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-62190 décrit une vulnérabilité CSRF dans le plugin Calls de Mattermost, permettant à un attaquant d'effectuer des actions non autorisées. Le CVSS est de 4.3 (MODÉRÉ).
Vous êtes affecté si vous utilisez le plugin Calls de Mattermost et que vous n'avez pas mis à jour vers la version 1.10.0 ou supérieure.
Mettez à jour le plugin Calls vers la version 1.10.0 ou supérieure. En attendant, appliquez des mesures d'atténuation comme le renforcement des contrôles CSRF.
À l'heure actuelle, il n'y a aucune preuve d'exploitation active de CVE-2025-62190, mais la vigilance est recommandée.
Consultez le site web de Mattermost ou leur page de sécurité pour l'avis officiel concernant CVE-2025-62190.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.