出典: Security NEXT – https://www.security-next.com/177829
組織向けコラボツール「Mattermost」に脆弱性 – 「クリティカル」も
組織向けコラボツール「Mattermost」に脆弱性 – 「クリティカル」も
組織におけるチームチャットやコラボレーション機能を提供する「Mattermost」に複数の脆弱性が明らかになった。「クリティカル」とされる脆弱性も含まれており、修正されている。
開発チームでは、2025年10月下旬より11月にかけてアドバイザリを複数公開しており、これら脆弱性へ対処したことを明らかにした。なかでも「CVE-2025-12421」「CVE-2025-12419」の2件については影響が大きい。
「CVE-2025-12421」は、コード交換に用いられるトークンが同一の認証フローに由来するか検証しない問題で、細工したメールアドレスを利用し、リクエストを操作することで、認証済みユーザーによるアカウントを乗っ取ることが可能となる。
「CVE-2025-12419」は、「OAuth」「OpenID」の利用時におけるトークンの検証不備に起因。2件のアカウントを用意し、片方をログインさせることで未ログインのIDを認証させることが可能となる。
いずれも共通脆弱性評価システム「CVSSv3.1」のベーススコアは「
