प्लेटफ़ॉर्म
go
घटक
github.com/mattermost/mattermost-plugin-calls
में ठीक किया गया
11.0.5
10.12.3
10.11.7
1.10.0
CVE-2025-62190 एक क्रॉस-साइट स्क्रिप्टिंग (CSRF) भेद्यता है जो Mattermost के Calls Widget पृष्ठ में मौजूद है। इस भेद्यता का फायदा उठाकर, एक हमलावर अनधिकृत क्रियाएं कर सकता है, जिससे डेटा का समझौता हो सकता है। यह भेद्यता Mattermost के उन संस्करणों को प्रभावित करती है जो 1.10.0 से पहले हैं। 1.10.0 संस्करण में इस समस्या का समाधान किया गया है।
यह CSRF भेद्यता हमलावर को उपयोगकर्ता की जानकारी के बिना, उनके खाते में अनधिकृत क्रियाएं करने की अनुमति देती है। हमलावर एक दुर्भावनापूर्ण वेबसाइट या ईमेल के माध्यम से उपयोगकर्ता को एक विशेष लिंक पर क्लिक करने के लिए प्रेरित कर सकता है, जो Mattermost के Calls Widget पृष्ठ पर एक अनुरोध भेजता है। यदि उपयोगकर्ता लॉग इन है, तो हमलावर उपयोगकर्ता की ओर से कार्रवाई कर सकता है, जैसे कि कॉल शुरू करना या कॉन्फ़िगरेशन बदलना। इस भेद्यता का उपयोग संवेदनशील डेटा तक पहुंचने या सिस्टम को नुकसान पहुंचाने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से उन संगठनों के लिए चिंताजनक है जो Mattermost का उपयोग महत्वपूर्ण संचार के लिए करते हैं।
CVE-2025-62190 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर की जानकारी उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन CSRF भेद्यता के कारण, इसका शोषण किया जा सकता है। यह भेद्यता 2025-12-30 को प्रकाशित हुई थी।
Organizations heavily reliant on the Mattermost Calls Widget for internal or external communication are at increased risk. Specifically, deployments with limited security controls or those lacking robust CSRF protection mechanisms are particularly vulnerable. Teams using older versions of the Calls Widget plugin without regular security updates are also at significant risk.
• go / server: Examine Mattermost plugin logs for unusual call initiation requests or modifications to call settings. Look for requests originating from unexpected sources or with suspicious parameters.
journalctl -u mattermost -f | grep "Calls Widget"• generic web: Monitor Mattermost instance access logs for requests to the Calls Widget endpoints with unusual HTTP referer headers. A referer header not originating from the Mattermost domain could indicate a CSRF attempt.
curl -I <mattermost_calls_widget_url> | grep Refererdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-62190 को कम करने के लिए, Mattermost को तुरंत 1.10.0 या बाद के संस्करण में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो CSRF टोकन सत्यापन को मजबूत करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू किया जा सकता है। इसके अतिरिक्त, उपयोगकर्ता को संदिग्ध लिंक पर क्लिक करने से बचने और अपने Mattermost खाते के लिए मजबूत पासवर्ड का उपयोग करने के लिए प्रोत्साहित किया जाना चाहिए। यह सुनिश्चित करें कि सभी प्लगइन भी नवीनतम संस्करण में अपडेट किए गए हैं। अपडेट के बाद, यह सत्यापित करें कि Calls Widget पृष्ठ पर CSRF टोकन ठीक से काम कर रहा है, एक परीक्षण अनुरोध भेजकर और प्रतिक्रिया की जांच करके।
Mattermost को नवीनतम उपलब्ध संस्करण में अपडेट करें। संस्करण 11.0.5, 10.12.3, 10.11.7 और उच्चतर में इस CSRF भेद्यता के लिए सुधार शामिल है। अधिक विवरण के लिए Mattermost सुरक्षा घोषणा देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-62190 Mattermost के Calls Widget पृष्ठ में पाई गई एक क्रॉस-साइट स्क्रिप्टिंग (CSRF) भेद्यता है, जो हमलावरों को अनधिकृत क्रियाएं करने की अनुमति देती है।
यदि आप Mattermost के 1.10.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-62190 को ठीक करने के लिए, Mattermost को 1.10.0 या बाद के संस्करण में अपडेट करें।
हालांकि सार्वजनिक PoC उपलब्ध नहीं हैं, CSRF भेद्यता के कारण इसका शोषण किया जा सकता है।
आधिकारिक Mattermost सलाहकार के लिए, Mattermost सुरक्षा सलाहकार पृष्ठ देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।