В конце октября 2025 года была подтверждена и внесена в базу данных уязвимостей под номером BDU:2025-15264 критическая уязвимость в популярном корпоративном мессенджере Mattermost. Проблема, получившая идентификатор CVE-2025-12421, связана с некорректной реализацией алгоритма аутентификации при обработке специального эндпоинта (конечной точки) "/users/login/sso/code-exchange". Эта ошибка позволяет удаленному злоумышленнику, имеющему лишь минимальные привилегии в системе, полностью обойти механизмы безопасности. В результате атакующий может получить несанкционированный доступ к конфиденциальной переписке, файлам и другим защищаемым данным внутри развернутого экземпляра платформы.
Детали уязвимости
Уязвимость имеет архитектурный характер и классифицируется как CWE-303, что указывает на фундаментальный недостаток в логике проверки подлинности пользователей. Эксперты оценивают её как чрезвычайно опасную. Базовый балл по шкале CVSS 3.1 достигает критического значения 9.9 из 10.0. Высокий рейтинг обусловлен несколькими факторами. Во-первых, для эксплуатации не требуется взаимодействие с пользователем (UI:N). Во-вторых, атака может проводиться удаленно через сеть (AV:N) с низкой сложностью (AC:L). В-третьих, последствия носят максимально тяжелый характер: под угрозой оказываются конфиденциальность, целостность и доступность всей системы (C:H/I:H/A:H), при этом воздействие может распространиться на другие связанные компоненты (S:C).
Под угрозой находятся сетевые программные средства Mattermost в определенных версиях. Уязвимыми являются релизы от 10.5.0 до 10.5.12 включительно, от 10.11.0 до 10.11.4, от 10.12.0 до 10.12.1, а также новейшие на момент обнаружения версии от 11.0.0 до 11.0.2. Производитель, компания Mattermost Inc., уже подтвердил наличие проблемы и выпустил необходимые патчи. Состояние уязвимости в настоящее время изменено на "устраненная". Однако многие организации могут еще не обновить свои рабочие экземпляры, что оставляет их данные под угрозой.
Основной способ эксплуатации уязвимости классифицируется как "нарушение аутентификации". На практике это означает, что злоумышленник, действующий извне, может скомпрометировать процесс единого входа (SSO). В частности, неправильная обработка кода обмена на указанном эндпоинте позволяет имитировать успешную аутентификацию. Следовательно, атакующий может получить доступ к учетной записи с правами обычного пользователя или, в худшем сценарии, повысить свои привилегии. После этого возможно хищение данных, установка вредоносного ПО или перемещение по корпоративной сети для дальнейших атак.
На текущий момент данные о наличии публичного эксплойта уточняются. Тем не менее, публикация деталей уязвимости в открытых базах данных часто стимулирует киберпреступные группировки на поиск или создание инструментов для атак. Особую опасность эта уязвимость представляет для компаний, использующих Mattermost для обсуждения коммерческой тайны, интеллектуальной собственности или персональных данных. Платформа популярна среди IT-отделов, команд разработки и в других отраслях, где важна безопасная коммуникация.
Единственным надежным способом устранения угрозы является немедленное обновление программного обеспечения до патченной версии. Администраторам систем настоятельно рекомендуется посетить официальные страницы безопасности Mattermost. Если немедленное обновление невозможно, следует рассмотреть дополнительные меры контроля доступа к интерфейсам управления и мониторинга. Например, можно ограничить доступ к уязвимому эндпоинту с помощью межсетевых экранов или систем предотвращения вторжений (IPS).
Этот инцидент в очередной раз подчеркивает важность своевременного применения обновлений безопасности для всех сетевых сервисов. Корпоративные мессенджеры, являясь центральным узлом коммуникаций, становятся привлекательной мишенью для злоумышленников. Регулярный аудит настроек аутентификации, особенно интеграций с SSO, должен быть частью стандартной практики безопасности. Обнаружение уязвимости такого высокого уровня риска в столь важном компоненте инфраструктуры служит серьезным сигналом для всего сообщества специалистов по кибербезопасности.
Ссылки
- https://bdu.fstec.ru/vul/2025-15264
- https://www.cve.org/CVERecord?id=CVE-2025-12421
- https://mattermost.com/security-updates
- https://github.com/mattermost/mattermost/releases
