Специалисты по информационной безопасности обнаружили новую критическую уязвимость в популярном корпоративном решении для обмена сообщениями Mattermost. Дефект, зарегистрированный в Банке данных угроз (BDU) под идентификатором BDU:2025-16018 и получивший идентификатор CVE-2025-4981, связан с неконтролируемым элементом пути поиска. Говоря простыми словами, эта ошибка позволяет злоумышленнику, уже имеющему учетную запись в системе, манипулировать путями, по которым приложение ищет необходимые для работы компоненты. В результате злоумышленник может заставить программу выполнить произвольный вредоносный код.
Детали уязвимости
Уязвимость представляет серьезную угрозу, так как успешная эксплуатация дает злоумышленнику практически полный контроль над инстанцией Mattermost. Согласно методологии оценки CVSS 3.x, базовый балл уязвимости составляет 9.9 из 10, что соответствует критическому уровню опасности. Важно отметить, что для атаки злоумышленнику требуется иметь привилегии авторизованного пользователя (PR:L), однако сам вектор атаки не требует взаимодействия с другими пользователями (UI:N). Более того, воздействие может распространяться на другие компоненты корпоративной инфраструктуры (S:C), что существенно увеличивает потенциальный ущерб.
Под угрозой находятся широко используемые версии программного обеспечения. В частности, уязвимыми являются Mattermost начиная с версии 9.11.0 до 9.11.15 включительно, а также основные ветки 10.x: с 10.5.0 до 10.5.5, с 10.6.0 до 10.6.5, с 10.7.0 до 10.7.2 и версия 10.8.0. Данный дефект затрагивает сетевое программное обеспечение, развернутое на различных платформах, точный перечень которых в настоящее время уточняется.
Производитель, компания Mattermost Inc., уже подтвердил наличие уязвимости и оперативно выпустил необходимые патчи. Следовательно, основной и единственно надежный способ устранения угрозы - немедленное обновление программного обеспечения до безопасных версий. Администраторам настоятельно рекомендуется обратиться к официальным источникам, а именно на страницу security-updates на сайте mattermost.com, где размещены все технические детали и рекомендации по обновлению. Там же можно найти информацию о том, какие именно версии содержат исправления.
На текущий момент данные о наличии публичных эксплойтов, то есть готовых инструментов для эксплуатации уязвимости, уточняются. Однако учитывая критический характер уязвимости и публикацию деталей в открытых источниках, включая Национальную базу данных уязвимостей США (NVD), можно ожидать, что киберпреступные группы, включая группы продвинутых постоянных угроз (APT), быстро попытаются разработать методы атаки. Следовательно, окно для безопасного обновления может быть крайне ограниченным.
Эта ситуация служит очередным напоминанием о важности своевременного управления обновлениями в корпоративной среде. Mattermost часто используется в качестве внутреннего канала коммуникации в компаниях, и его компрометация может открыть путь для горизонтального перемещения по сети, сбора конфиденциальных данных или установки вредоносных программ, таких как программы-вымогатели (ransomware). Угроза подчеркивает необходимость строгого соблюдения принципа наименьших привилегий при назначении прав доступа пользователям, поскольку уязвимость требует наличия авторизованной учетной записи.
Таким образом, администраторам и специалистам по кибербезопасности, отвечающим за инфраструктуры, использующие Mattermost, необходимо в приоритетном порядке провести аудит версий развернутого ПО. В случае обнаружения уязвимых инсталляций следует незамедлительно запланировать и провести процедуру обновления в соответствии с рекомендациями вендора. Промедление с установкой исправлений в данном случае создает неоправданно высокий риск для безопасности всей корпоративной сети.
Ссылки
- https://bdu.fstec.ru/vul/2025-16018
- https://www.cve.org/CVERecord?id=CVE-2025-4981
- https://mattermost.com/security-updates
