CVE-2025-12419

Nome do Software Vulnerável e Versões Afetadas Versões do Mattermost 10.5.x até 10.5.12 Versões do Mattermost 10.11.x até 10.11.4 Versões do Mattermost 10.12.x até 10.12.1 Versões do Mattermost 11.0.x até 11.0.3

Descrição O aplicativo Mattermost contém uma falha na implementação de seu algoritmo de autenticação. Esse problema permite que um atacante autenticado com privilégios de criação de equipe ou de administrador assuma o controle de qualquer conta de usuário manipulando dados de autenticação durante o fluxo de conclusão do OAuth. O problema decorre da validação inadequada de tokens de estado OAuth durante a autenticação OpenID Connect. Isso requer que a verificação de e-mail esteja desativada e que o OAuth/OpenID Connect esteja ativado. O atacante deve controlar dois usuários no sistema SSO, sendo que um deles nunca fez login no Mattermost.

Recomendações Versões do Mattermost 10.5.x até 10.5.12: Atualize para uma versão mais recente e corrigida. Versões do Mattermost 10.11.x até 10.11.4: Atualize para uma versão mais recente e corrigida. Versões do Mattermost 10.12.x até 10.12.1: Atualize para uma versão mais recente e corrigida. Versões do Mattermost 11.0.x até 11.0.3: Atualize para uma versão mais recente e corrigida.