組織向けコラボツール「Mattermost」に脆弱性 - 「クリティカル」も
組織におけるチームチャットやコラボレーション機能を提供する「Mattermost」に複数の脆弱性が明らかになった。「クリティカル」とされる脆弱性も含まれており、修正されている。
開発チームでは、2025年10月下旬より11月にかけてアドバイザリを複数公開しており、これら脆弱性へ対処したことを明らかにした。なかでも「CVE-2025-12421」「CVE-2025-12419」の2件については影響が大きい。
「CVE-2025-12421」は、コード交換に用いられるトークンが同一の認証フローに由来するか検証しない問題で、細工したメールアドレスを利用し、リクエストを操作することで、認証済みユーザーによるアカウントを乗っ取ることが可能となる。
「CVE-2025-12419」は、「OAuth」「OpenID」の利用時におけるトークンの検証不備に起因。2件のアカウントを用意し、片方をログインさせることで未ログインのIDを認証させることが可能となる。
いずれも共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.9」と高く、重要度は4段階中もっとも高い「クリティカル(Critical)」とされている。
(Security NEXT - 2025/12/02 )
ツイート
PR
関連記事
米当局、悪用カタログに既知脆弱性5件を登録 - AppleやRockwellなど
「iPhone」狙う強力な攻撃キット「Coruna」 - 多数脆弱性を悪用、CVE未採番も
JetBrainsの複数製品に脆弱性 - 「Hub」ではクリティカルも
「VMware Aria Operations」の脆弱性など悪用に注意喚起 - 米当局
「EC-CUBE」に多要素認証を回避される脆弱性 - 修正パッチを公開
自然言語処理ライブラリ「NLTK」に深刻なRCE脆弱性
メッセージブローカー「Apache ActiveMQ Artemis」に深刻な脆弱性
「Cisco Secure Firewall」に脆弱性 - 認証回避やRCEなど深刻な影響も
キヤノン複合機向けスキャンソフトに脆弱性 - アップデートを公開
「Chrome」にアップデート - 「クリティカル」含む脆弱性10件修正
