CSIRT Italien warnt vor kritische Schwachstellen in Mattermost

Die CSIRT Italien warnt in einem Sicherheitsbericht vor 3 kritische Schwachstellen in der Open-Source-Kollaborationsplattform Mattermost . Die Sicherheitslücken betreffen verschiedene Versionen, darunter Mattermost 10.4.x (bis einschließlich 10.4.1), 9.11.x (bis einschließlich 9.11.7), 10.3.x (bis einschließlich 10.3.2) und 10.2.x (bis einschließlich 10.2.2).

Die identifizierten Schwachstellen ermöglichen es Angreifern, unter anderem Arbitrary File Read und SQL-Injection-Angriffe durchzuführen. So könnten böswillige Nutzer auf sensible Informationen zugreifen oder beliebige Dateien auf den Zielsystemen lesen, indem sie speziell präparierte Import-Archive in den Boards-Funktionen nutzen oder durch unsichere SQL-Abfragen Daten aus der Datenbank extrahieren.

Für die kritischen Schwachstellen (CVE-2025-20051, CVE-2025-24490 und CVE-2025-25279) empfiehlt CSIRT Italia in Übereinstimmung mit den Sicherheitsbulletins des Herstellers dringend, auf neuere Versionen zu aktualisieren. Betroffene Anwender sollten auf Mattermost-Versionen 10.5.0, 10.4.2, 9.11.8, 10.3.3, 10.2.3 oder höher wechseln bzw. alternativ das Mattermost Boards Plugin auf Version 9.0.5 oder höher aktualisieren.

Related Posts

CVE-2025-1094: Kritische SQL-Injection-Schwachstelle in PostgreSQL psql behoben

Rapid7 entdeckte eine SQL-Injection-Schwachstelle in dem PostgreSQL-Tool psql. Die Sicherheitslücke, CVE-2025-1094, macht es möglich, trotz Verwendung der integrierten String-Escaping-Routinen durch die Verarbeitung ungültiger UTF-8-Zeichen SQL-Injection-Angriffe durchzuführen. Angreifer können so über Meta-Commands im psql-Tool beliebige Betriebssystembefehle ausführen oder SQL-Anweisungen manipulieren, was letztlich zu einer Arbitrary Code Execution führen konnte.

Read More

Telekom startet SMS-Firewall im April

Die Deutsche Telekom wird am 1. April 2025 ein neues Sicherheitsfeature eingeführen, das SMS mit betrügerischen Inhalten und Schadsoftware abwehrt. Das System, eine sogenannte SMS-Firewall, analysiert eingehende Nachrichten automatisch und blockiert solche, die als potenziell gefährlich eingestuft werden.

Read More

KLEO-Theme-Plugin: Kritische Privilegieneskalations-Lücke behoben

Eine kritische Privilegieneskalation im K Elements Plugin – einem Bestandteil des beliebten KLEO WordPress-Themes – wurde behoben. Die Sicherheitslücke (CVE-2024-56000) beruht auf fehlerhafter Logik im Facebook Social-Login-Prozess.

Read More