CVE-2025-4981

Nome do Software Vulnerável e Versões Afetadas Versões do Mattermost 10.5.x até 10.5.5 Versões do Mattermost 9.11.x até 9.11.15 Versões do Mattermost 10.8.x até 10.8.0 Versões do Mattermost 10.7.x até 10.7.2 Versões do Mattermost 10.6.x até 10.6.5

Descrição O Mattermost falha ao sanitizar nomes de arquivos no extrator de arquivos compactados, permitindo que usuários autenticados gravem arquivos em locais arbitrários no sistema de arquivos via upload de compactados com sequências de path traversal nos nomes de arquivos, potencialmente levando à execução remota de código (RCE). Este problema impacta instâncias onde uploads de arquivos e pesquisa de documentos por conteúdo estão habilitados (FileSettings.EnableFileAttachments = true e FileSettings.ExtractContent = true), os quais estão habilitados por padrão. Aproximadamente 97.000+ e 113.000+ instâncias potencialmente afetadas foram identificadas.

Recomendações Versões do Mattermost 10.5.x até 10.5.5: Atualize para uma versão mais recente e corrigida. Versões do Mattermost 9.11.x até 9.11.15: Atualize para uma versão mais recente e corrigida. Versões do Mattermost 10.8.x até 10.8.0: Atualize para uma versão mais recente e corrigida. Versões do Mattermost 10.7.x até 10.7.2: Atualize para uma versão mais recente e corrigida. Versões do Mattermost 10.6.x até 10.6.5: Atualize para uma versão mais recente e corrigida.