Facebook Instagram Linkedin
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en Mattermost server

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en Mattermost server
Mar, 25/02/2025 – 10:23

Aviso

Recursos Afectados

Las siguientes versiones de Mattermost que tengan tableros (boards) habilitado:

  • desde la versión 10.4.x hasta la 10.4.1, incluida;
  • desde la versión 9.11.x hasta la 9.11.7, incluida;
  • desde la versión 10.3.x hasta la 10.3.2, incluida;
  • desde la versión 10.2.x hasta la 10.2.2, incluida.

Descripción

Mattermost ha publicado información de 2 vulnerabilidades críticas que podrían permitir a usuarios y atacantes leer archivos arbitrarios del sistema.

Identificador
INCIBE-2025-0099

5 – Crítica

Solución

Actualizar a la última versión disponible. 

En concreto, para solucionar estas vulnerabilidades la versión del producto debe ser, como mínimo, la siguiente:

  • 9.11.8
  • 10.2.3
  • 10.3.3
  • 10.4.2
  • 10.5.0

Detalle

Las vulnerabilidades, ambas críticas, son:

  • CVE-2025-25279: no se realiza una validación adecuada de los bloques de tableros (board blocks) cuando se importan tableros, esto puede permitir a un atacante leer cualquier fichero del sistema al importar y exportar un archivo importado especialmente manipulado en los tableros (boards).
  • CVE-2025-20051: no realiza una validación adecuada de entrada cuando se duplica y parchea un tablero (board), esto permite a un usuario leer cualquier fichero del sistema duplicando un bloque especialmente manipulado en los tableros (boards).

Estas vulnerabilidades únicamente afectan a instancias de Mattermost con tableros (boards) habilitados. 

Listado de referencias

Mattermost security updates

GitHub – Mattermost allows reading arbitrary files related to importing boards

GitHub – Mattermost allows reading arbitrary files

Etiquetas

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.