MEDIUMCVE-2025-62190CVSS 4.3

CVE-2025-62190: CSRF in Mattermost Calls Widget

平台

组件

github.com/mattermost/mattermost-plugin-calls

修复版本

11.0.5

10.12.3

10.11.7

1.10.0

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-62190 描述了 Mattermost Calls Widget 中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者在用户不知情的情况下执行未经授权的操作，可能导致数据泄露或系统损坏。该漏洞影响 Mattermost 1.0.0 之前的版本，已于 2025 年 12 月 30 日公开披露。建议用户尽快升级至 1.10.0 版本以修复此安全问题。

影响与攻击场景

攻击者可以利用此 CSRF 漏洞伪造用户请求，从而执行各种恶意操作。例如，攻击者可以修改用户配置、发送未经授权的消息，甚至可能获得对 Mattermost 服务器的控制权。由于 Calls Widget 广泛使用，该漏洞的潜在影响范围较大。攻击者可以通过诱骗用户点击恶意链接或访问恶意网站来触发此漏洞，从而在用户不知情的情况下执行攻击。如果攻击者能够成功利用此漏洞，可能会导致敏感信息泄露、服务中断或系统被破坏。

利用背景

目前尚无公开的利用此漏洞的 PoC 代码，但该漏洞已公开披露，存在被利用的风险。该漏洞已添加到 CISA KEV 目录中，表明其具有中等概率被利用。建议用户密切关注 Mattermost 的安全公告，并及时采取缓解措施。

哪些人处于风险中翻译中…

Organizations heavily reliant on the Mattermost Calls Widget for internal or external communication are at increased risk. Specifically, deployments with limited security controls or those lacking robust CSRF protection mechanisms are particularly vulnerable. Teams using older versions of the Calls Widget plugin without regular security updates are also at significant risk.

检测步骤翻译中…

• go / server: Examine Mattermost plugin logs for unusual call initiation requests or modifications to call settings. Look for requests originating from unexpected sources or with suspicious parameters.

journalctl -u mattermost -f | grep "Calls Widget"

• generic web: Monitor Mattermost instance access logs for requests to the Calls Widget endpoints with unusual HTTP referer headers. A referer header not originating from the Mattermost domain could indicate a CSRF attempt.

curl -I <mattermost_calls_widget_url> | grep Referer

攻击时间线

2025-12-30Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.02% (5% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件github.com/mattermost/mattermost-plugin-calls

供应商osv

影响范围修复版本

11.0.0 – 11.0.411.0.5

10.12.0 – 10.12.210.12.3

10.11.0 – 10.11.610.11.7

—1.10.0

弱点分类 (CWE)

CWE-352

时间线

已保留2025-11-17
发布日期2025-12-30
修改日期2026-03-03
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是升级至 Mattermost 1.10.0 或更高版本，该版本修复了此漏洞。如果无法立即升级，可以考虑实施一些临时缓解措施。例如，可以配置 Mattermost 服务器以强制使用 HTTPS，并启用 CSRF 保护机制。此外，建议用户谨慎对待来自未知来源的链接和网站，避免点击可疑链接。在升级过程中，如果遇到兼容性问题，可以尝试回滚到之前的稳定版本，并联系 Mattermost 支持团队寻求帮助。升级后，请确认 Calls Widget 功能正常运行，以验证漏洞已成功修复。

修复方法

升级 Mattermost 到最新可用版本。版本 11.0.5、10.12.3、10.11.7 及更高版本包含此 CSRF 漏洞的修复。请参阅 Mattermost 安全公告以获取更多详细信息。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-62190 — CSRF 在 Mattermost Calls Widget 中？

CVE-2025-62190 是 Mattermost Calls Widget 中发现的一个跨站请求伪造 (CSRF) 漏洞，允许攻击者在用户不知情的情况下执行未经授权的操作。

我是否受到 CVE-2025-62190 在 Mattermost Calls Widget 中影响？

如果您正在使用 Mattermost 1.0.0 之前的版本，则可能受到此漏洞的影响。请尽快升级至 1.10.0 或更高版本。

我如何修复 CVE-2025-62190 在 Mattermost Calls Widget 中？

最有效的修复方法是升级至 Mattermost 1.10.0 或更高版本。如果无法立即升级，请考虑实施临时缓解措施，例如强制使用 HTTPS 和启用 CSRF 保护。

CVE-2025-62190 是否正在被积极利用？

虽然目前尚无公开的利用代码，但该漏洞已公开披露，存在被利用的风险。建议用户密切关注安全公告并及时采取措施。

在哪里可以找到 Mattermost 关于 CVE-2025-62190 的官方公告？

请访问 Mattermost 的官方安全公告页面，以获取有关此漏洞的最新信息和修复指南：[https://mattermost.com/security](https://mattermost.com/security)