Kwetsbaarheden in Mattermost Verholpen

Laatst heeft Mattermost enkele belangrijke beveiligingsupdates uitgebracht die een aantal kwetsbaarheden in het systeem aanpakken. Deze updates zijn toegepast in de versies 10.4.x, 9.11.x, 10.3.x, 10.2.x en 10.1.x van de software. Het is van essentieel belang voor alle gebruikers om deze updates te installeren om de veiligheid van hun systemen te waarborgen.

Overzicht van de Kwetsbaarheden

De volgende beveiligingslekken zijn geïdentificeerd en inmiddels verholpen:

1. Session Fixation: Dit probleem hield in dat actieve sessies niet onbruikbaar werden gemaakt bij een conversie naar een botgebruiker, wat kan leiden tot ongeautoriseerde toegang.

2. Path Traversal: Door onvoldoende beperking op padnamen konden kwaadwillenden toegang krijgen tot directories buiten de bedoelde map, wat potentieel gevoelige data kan blootstellen.

3. Incorrect Authorization: Foutieve autorisatieprocedures lieten ongeautoriseerde gebruikers bepaalde acties uitvoeren die normaal gesproken zouden moeten worden beperkt.

4. SQL Injection: Door het ontbreken van voorbereide queries konden kwetsbaarheden in SQL-aanvragen leiden tot gevaarlijke injectie-aanvallen, met als gevolg dat gegevens konden worden gestolen of vernietigd.

Omschrijving van de Gevaarlijke Scenarios

Deze kwetsbaarheden lieten kwaadwillenden potentieel toe om toegang te verkrijgen tot gevoelige informatie of zelfs willekeurige code uit te voeren, wat ernstige schade kan veroorzaken aan de systemen van gebruikers. Denk hierbij aan datalekken of het volledig lamleggen van een omgeving door een aanval.

Beschikbare Oplossingen

Mattermost heeft speciale updates ontwikkeld om deze beveiligingsproblemen te verhelpen. Gebruikers worden met klem aangeraden om hun systemen zo snel mogelijk bij te werken naar de nieuwste versie. Meer details over deze updates en instructies voor implementatie zijn terug te vinden via Mattermost Security Updates.

Betrokken CVE’s

Enkele van de relevante Common Vulnerabilities and Exposures (CVE)-nummers voor deze kwetsbaarheden zijn:

• CVE-2025-1412
• CVE-2025-20051
• CVE-2025-24490
• CVE-2025-24526
• CVE-2025-25279

Bij twijfel of als u extra hulp nodig hebt, is het verstandig om contact op te nemen met een IT-beveiligingsprofessional of de ondersteuningsdiensten van Mattermost.

Disclaimer

Dit beveiligingsadvies is samengesteld door het Nationaal Cyber Security Centrum (NCSC) met de grootst mogelijke zorgvuldigheid. Ondanks de inspanningen kan het NCSC niet garanderen dat de informatie volledig of constant actueel is. Gebruik van dit advies is op eigen risico. Het NCSC en de Nederlandse overheid zijn niet aansprakelijk voor enige schade die voortvloeit uit het gebruik van deze informatie. Alle geschillen die voortvloeien uit dit advies worden behandeld volgens het Nederlandse recht.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----