CVE-2025-13767

Unauthorized Read Access to Private Channel Posts via Mattermost Jira Plugin

CVSS 4.3 MEDIUMEPSS 0.2%CWE-863

Vexday Risk Score

13Baixo

Decisão SSVC (CISA)

Track

Sem sinal de exploração → monitorar

CVSS 4.3EPSS 0.2%KEV nãoPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

24 dez 2025Publicada no NVD

Recomendação: Monitorar — sem sinal de exploração no momento.

Mattermost versions 11.1.x <= 11.1.0, 11.0.x <= 11.0.5, 10.12.x <= 10.12.3, 10.11.x <= 10.11.7 fails to validate user channel membership when attaching Mattermost posts as comments to Jira issues, which allows an authenticated attacker with access to the Jira plugin to read post content and attachments from channels they do not have access to.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Produtos afetados

Mattermost · Mattermost

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://mattermost.com/security-updates