Platform
go
Component
github.com/mattermost/mattermost-plugin-calls
Opgelost in
11.0.5
10.12.3
10.11.7
1.10.0
CVE-2025-62190 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Calls Widget van het Mattermost plugin github.com/mattermost/mattermost-plugin-calls. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde acties uit te voeren namens een geauthenticeerde gebruiker. De kwetsbaarheid is aangetroffen in versies van Mattermost plugin voor 1.10.0 en is opgelost in versie 1.10.0.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de configuratie van de Calls Widget, of zelfs tot het uitvoeren van acties namens een gebruiker zonder hun medeweten. Dit kan resulteren in datalekken, ongeautoriseerde toegang tot gevoelige informatie, of verstoring van de dienstverlening. De impact is afhankelijk van de privileges van de gebruiker waarvan de sessie wordt misbruikt. Een aanvaller kan bijvoorbeeld instellingen wijzigen die de functionaliteit van de Calls Widget beïnvloeden, of zelfs gevoelige data manipuleren, afhankelijk van de specifieke acties die via CSRF kunnen worden uitgevoerd.
De kwetsbaarheid is publiekelijk bekend sinds 2025-12-30. Er is geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen public proof-of-concept exploits bekend op het moment van schrijven. De KEV status is momenteel onbekend.
Organizations heavily reliant on the Mattermost Calls Widget for internal or external communication are at increased risk. Specifically, deployments with limited security controls or those lacking robust CSRF protection mechanisms are particularly vulnerable. Teams using older versions of the Calls Widget plugin without regular security updates are also at significant risk.
• go / server: Examine Mattermost plugin logs for unusual call initiation requests or modifications to call settings. Look for requests originating from unexpected sources or with suspicious parameters.
journalctl -u mattermost -f | grep "Calls Widget"• generic web: Monitor Mattermost instance access logs for requests to the Calls Widget endpoints with unusual HTTP referer headers. A referer header not originating from the Mattermost domain could indicate a CSRF attempt.
curl -I <mattermost_calls_widget_url> | grep Refererdisclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de github.com/mattermost/mattermost-plugin-calls plugin naar versie 1.10.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van CSRF-beschermingsmaatregelen op applicatieniveau, zoals het verifiëren van de Origin header in de Calls Widget. Implementeer strikte Content Security Policy (CSP) regels om de bronnen te beperken waaruit de Calls Widget scripts kan laden. Na de upgrade, controleer de logs op verdachte activiteit en bevestig dat de Calls Widget correct functioneert.
Werk Mattermost bij naar de laatste beschikbare versie. Versies 11.0.5, 10.12.3, 10.11.7 en hoger bevatten de correctie voor deze CSRF-kwetsbaarheid. Raadpleeg de beveiligingsbulletin van Mattermost voor meer details.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-62190 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de Calls Widget van de Mattermost plugin, waardoor een aanvaller ongeautoriseerde acties kan uitvoeren.
Ja, als u een versie van de github.com/mattermost/mattermost-plugin-calls plugin gebruikt die ouder is dan 1.10.0, bent u kwetsbaar.
Upgrade de github.com/mattermost/mattermost-plugin-calls plugin naar versie 1.10.0 of hoger. Implementeer CSRF-beschermingsmaatregelen indien een upgrade niet direct mogelijk is.
Op dit moment zijn er geen meldingen van actieve exploitatiecampagnes bekend, maar het is belangrijk om de kwetsbaarheid te patchen.
Raadpleeg de Mattermost security advisories op hun website voor de meest recente informatie en updates over deze kwetsbaarheid.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.