概述
CVE-2025-55070是一个中等严重程度的网络安全漏洞,CVSS 3.1评分为6.5分。该漏洞涉及Mattermost协作平台在WebSocket连接中未能正确强制执行多因素身份验证(MFA)。
漏洞描述
Mattermost 11以下版本在WebSocket连接上未能强制执行多因素身份验证,这使得未经身份验证的用户能够通过WebSocket事件访问敏感信息。
技术细节
受影响产品
- 目前尚未记录具体的受影响产品
- 受影响供应商总数:0
- 受影响产品数量:0
CVSS评分详情
| 分数 | 版本 | 严重程度 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 6.5 | CVSS 3.1 | 中等 | - | 2.8 | 3.6 | responsibledisclosure@mattermost.com |
| 6.5 | CVSS 3.1 | 中等 | - | 2.8 | 3.6 | MITRE-CVE |
攻击向量分析
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:低
- 用户交互:不需要
- 影响范围:未改变
- 机密性影响:高
- 完整性影响:无
- 可用性影响:无
解决方案
- 更新Mattermost到版本11或更高版本
- 启用并强制执行多因素身份验证
- 验证WebSocket连接安全性
相关参考
- 安全更新信息:https://mattermost.com/security-updates
关联分类
CWE分类
- CWE-306:关键功能缺少身份验证
CAPEC攻击模式
- CAPEC-12:选择消息标识符
- CAPEC-36:使用未发布的接口或功能
- CAPEC-62:跨站请求伪造
- CAPEC-166:强制系统重置值
- CAPEC-216:通信信道操纵
漏洞时间线
- 发布日期:2025年11月14日
- 最后修改:2025年11月14日
- 远程利用:是
- 信息来源:responsibledisclosure@mattermost.com
历史记录
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | - | Mattermost版本<11在WebSocket连接上未能强制执行多因素身份验证,允许未经身份验证用户通过WebSocket事件访问敏感信息 |
| 添加 | CVSS V3.1 | - | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| 添加 | CWE | - | CWE-306 |
| 添加 | 参考 | - | https://mattermost.com/security-updates |