HIGHCVE-2025-9079CVSS 8

Mattermost 路径遍历 (Path Traversal) 漏洞在 github.com/mattermost/mattermost-server

平台

组件

github.com/mattermost/mattermost-server

修复版本

10.8.4

10.5.9

9.11.18

10.10.2

10.9.4

10.8.4

9.11.18+incompatible

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-9079 是 Mattermost Server 中的路径遍历漏洞。该漏洞允许未经授权的用户读取服务器上的任意文件，可能导致敏感信息泄露。受影响的版本包括 9.11.18+incompatible 之前的 Mattermost Server 版本。建议立即升级至 9.11.18+incompatible 以缓解风险。

影响与攻击场景

攻击者可以利用此路径遍历漏洞访问 Mattermost Server 文件系统中的敏感数据。这可能包括配置文件、数据库凭据、源代码以及其他包含敏感信息的任何文件。成功利用此漏洞可能导致数据泄露、系统破坏，甚至可能允许攻击者在服务器上执行任意代码。由于 Mattermost Server 通常用于存储团队通信和协作数据，因此此漏洞的影响范围可能非常广泛，可能影响大量用户和组织。

利用背景

目前尚无公开的利用程序 (PoC)，但该漏洞的严重性表明存在被利用的风险。该漏洞已于 2025 年 9 月 24 日公开披露。CISA 尚未将其添加到 KEV 目录，但应密切关注其状态。建议监控 Mattermost Server 的日志，以检测任何可疑活动。

哪些人处于风险中翻译中…

Organizations utilizing Mattermost Server for internal communication, particularly those running older, unpatched versions, are at risk. Shared hosting environments where Mattermost is installed alongside other applications are also vulnerable, as a compromise of Mattermost could potentially impact other hosted services. Teams relying on Mattermost for sensitive data storage should prioritize patching.

检测步骤翻译中…

• linux / server:

journalctl -u mattermost -g 'path traversal'

• generic web:

curl -I 'http://mattermost.example.com/../../../../etc/passwd' # Check for 200 OK response

攻击时间线

2025-09-24Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.03% (10% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件github.com/mattermost/mattermost-server

供应商osv

影响范围修复版本

10.8.0 – 10.8.310.8.4

10.5.0 – 10.5.810.5.9

9.11.0 – 9.11.179.11.18

10.10.0 – 10.10.110.10.2

10.9.0 – 10.9.310.9.4

10.8.010.8.4

9.11.0+incompatible9.11.18+incompatible

10.5.0+incompatible9.11.18+incompatible

10.8.0+incompatible

弱点分类 (CWE)

CWE-22

时间线

已保留2025-08-15
发布日期2025-09-24
修改日期2026-03-03
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即将 Mattermost Server 升级至 9.11.18+incompatible 或更高版本。如果无法立即升级，可以考虑实施一些临时缓解措施。例如，可以配置 Web 应用防火墙 (WAF) 以阻止对可能导致路径遍历的请求。此外，应审查 Mattermost Server 的文件权限，以确保只有授权用户才能访问敏感文件。如果升级导致问题，请考虑回滚到之前的稳定版本，并尽快安排升级。

修复方法翻译中…

Actualice Mattermost a una versión que no esté afectada por esta vulnerabilidad. Consulte el aviso de seguridad de Mattermost para obtener más detalles y las versiones corregidas.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-9079 — 路径遍历漏洞在 Mattermost Server 中？

CVE-2025-9079 是 Mattermost Server 中的一个安全漏洞，允许攻击者通过操纵文件路径来访问服务器上的任意文件。

我是否受到 CVE-2025-9079 在 Mattermost Server 中影响？

如果您正在运行 9.11.18+incompatible 之前的 Mattermost Server 版本，则可能受到此漏洞的影响。

我如何修复 CVE-2025-9079 在 Mattermost Server 中？

建议立即将 Mattermost Server 升级至 9.11.18+incompatible 或更高版本。

CVE-2025-9079 是否正在被积极利用？

目前尚无公开的利用程序，但由于漏洞的严重性，存在被利用的风险。

在哪里可以找到 Mattermost Server 中 CVE-2025-9079 的官方安全公告？

请访问 Mattermost 的官方安全公告页面以获取更多信息：https://mattermost.com/security/advisories/