MEDIUMCVE-2025-62190CVSS 4.3

CVE-2025-62190: CSRF in Mattermost Calls Widget プラグイン

プラットフォーム

コンポーネント

github.com/mattermost/mattermost-plugin-calls

修正版

11.0.5

10.12.3

10.11.7

1.10.0

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-62190は、Mattermost Calls Widgetプラグインに存在するクロスサイトリクエストフォージェリ（CSRF）脆弱性です。この脆弱性を悪用されると、攻撃者は認証済みユーザーになりすまし、Mattermostインスタンスに対して不正な操作を実行する可能性があります。影響を受けるバージョンはMattermost 1.10.0以前です。この脆弱性は2025年12月30日に公開され、1.10.0へのアップデートで修正されています。

影響と攻撃シナリオ

このCSRF脆弱性は、攻撃者が認証済みユーザーのセッションを悪用し、ユーザーの権限でアクションを実行することを可能にします。例えば、攻撃者はユーザーが意図せずに設定を変更したり、機密情報にアクセスしたりする可能性があります。攻撃者は、悪意のあるウェブサイトやメールに埋め込まれた不正なリンクを通じて、この脆弱性を悪用する可能性があります。Mattermostインスタンスの管理者は、この脆弱性を放置すると、データ漏洩、システム改ざん、およびサービス停止につながる可能性があります。

悪用の状況

この脆弱性は、CISA KEVカタログにはまだ登録されていません。公的に利用可能なProof of Concept (PoC) は確認されていませんが、CSRF脆弱性は一般的に悪用が容易であり、攻撃者による悪用が懸念されます。NVD (National Vulnerability Database) は2025年12月30日にこの脆弱性を公開しました。

リスク対象者翻訳中…

Organizations heavily reliant on the Mattermost Calls Widget for internal or external communication are at increased risk. Specifically, deployments with limited security controls or those lacking robust CSRF protection mechanisms are particularly vulnerable. Teams using older versions of the Calls Widget plugin without regular security updates are also at significant risk.

検出手順翻訳中…

• go / server: Examine Mattermost plugin logs for unusual call initiation requests or modifications to call settings. Look for requests originating from unexpected sources or with suspicious parameters.

journalctl -u mattermost -f | grep "Calls Widget"

• generic web: Monitor Mattermost instance access logs for requests to the Calls Widget endpoints with unusual HTTP referer headers. A referer header not originating from the Mattermost domain could indicate a CSRF attempt.

curl -I <mattermost_calls_widget_url> | grep Referer

攻撃タイムライン

2025-12-30Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.02% (5% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントgithub.com/mattermost/mattermost-plugin-calls

ベンダーosv

影響範囲修正版

11.0.0 – 11.0.411.0.5

10.12.0 – 10.12.210.12.3

10.11.0 – 10.11.610.11.7

—1.10.0

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2025-11-17
公開日2025-12-30
更新日2026-03-03
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への主な対策は、Mattermostをバージョン1.10.0以降にアップデートすることです。アップデートがすぐに利用できない場合、CSRFトークンを適切に検証するようにMattermostの構成を調整することを検討してください。また、Web Application Firewall (WAF) を使用して、悪意のあるCSRFリクエストをブロックすることも有効な対策となります。WAFのルールを調整し、Calls Widgetに関連するリクエストを厳密に検証してください。最後に、ユーザーに対して、信頼できないウェブサイトやメールのリンクをクリックしないように注意喚起することも重要です。

修正方法

Mattermost を最新バージョンにアップデートしてください。バージョン 11.0.5、10.12.3、10.11.7 以降には、この CSRF 脆弱性に対する修正が含まれています。詳細については、Mattermost のセキュリティアナウンスを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-62190 — CSRFはMattermost Calls Widgetプラグインで何ですか？

CVE-2025-62190は、Mattermost Calls Widgetプラグインにおけるクロスサイトリクエストフォージェリ（CSRF）脆弱性です。攻撃者は、認証済みユーザーになりすまし、不正な操作を実行する可能性があります。

CVE-2025-62190はMattermost Calls Widgetプラグインで影響しますか？

はい、Mattermost Calls Widgetプラグインのバージョン1.10.0より前のバージョンが影響を受けます。

CVE-2025-62190はMattermost Calls Widgetプラグインでどのように修正しますか？

Mattermostをバージョン1.10.0以降にアップデートすることで修正できます。

CVE-2025-62190は積極的に悪用されていますか？

公的に利用可能なPoCは確認されていませんが、CSRF脆弱性は一般的に悪用が容易であり、攻撃者による悪用が懸念されます。

CVE-2025-62190のMattermost公式アドバイザリはどこで入手できますか？

Mattermostの公式アドバイザリは、Mattermostのセキュリティアドバイザリページで確認できます。