Mattermost
Vulnerabilities
143
Known exploited
0
Max CVSS
9.9
Top EPSS
0.03288
Severity breakdown
Critical
9
High
20
Medium
98
Low
16
Affected version ranges
5.32.0–5.34.55.34.0–7.1.97.0.0–7.8.107.1.0–7.1.97.7.0–7.7.37.8.0–7.8.37.8.0–7.8.47.8.0–7.8.89.5.0–9.5.69.5.0–9.5.79.5.0–9.5.89.5.0–9.5.9< 1.26.0< 1.31.2< 2.10.1< 2.3.2.0< 2.5.1< 2.8.0< 6.3.8< 6.4.0< 7.4< 7.5.0≤ 5.38≤ 6.0.2
Also matched as (raw): mattermost
Top vulnerabilities
BDU:2025-16018Уязвимость приложения для обмена мгновенными сообщениями Mattermost связана с неконтролируемым элементом пути поиска. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2025-15264Уязвимость приложения для обмена мгновенными сообщениями Mattermost связана с неправильной реализацией алгоритма аутентификации при обработке конечной точки /users/login/sso/code-exchange. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации
BDU:2025-15205Уязвимость приложения для обмена мгновенными сообщениями Mattermost связана с неправильной реализацией алгоритма аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации
BDU:2025-09062Уязвимость приложения для обмена мгновенными сообщениями Mattermost связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
BDU:2025-09035Уязвимость приложения для обмена мгновенными сообщениями Mattermost связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
CVE-2024-39777Mattermost versions 9.9.x <= 9.9.0, 9.5.x <= 9.5.6, 9.7.x <= 9.7.5 and 9.8.x <= 9.8.1 fail to disallow unsolicited invites to expose access to local channels, when shared channels are enabled, which allows a malicious remote to send an invite with the ID of an existing local channel, and that local channel will then become shared without the consent of the local admin.
BDU:2025-09051Уязвимость приложения для обмена мгновенными сообщениями Mattermost связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к базе данных
CVE-2023-2193Mattermost fails to invalidate existing authorization codes when deauthorizing an OAuth2 app, allowing an attacker possessing an authorization code to generate an access token.
CVE-2019-20851An issue was discovered in Mattermost Mobile Apps before 1.26.0. An attacker can use directory traversal with the Video Preview feature to overwrite arbitrary files on a device.
CVE-2024-40886Mattermost versions 9.9.x <= 9.9.1, 9.5.x <= 9.5.7, 9.10.x <= 9.10.0, 9.8.x <= 9.8.2 fail to sanitize user inputs in the frontend that are used for redirection which allows for a one-click client-side path traversal that is leading to CSRF in User Management page of the system console.
CVE-2023-7114Mattermost version 2.10.0 and earlier fails to sanitize deeplink paths, which allows an attacker to perform CSRF attacks against the server.
BDU:2024-00227Уязвимость компонента /plugins/playbooks/api/v0/telemetry/run/<telem_run_id> приложения для обмена мгновенными сообщениями Mattermost связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить CSRF-атаку
CVE-2024-39832Mattermost versions 9.9.x <= 9.9.0, 9.5.x <= 9.5.6, 9.7.x <= 9.7.5, 9.8.x <= 9.8.1 fail to properly safeguard an error handling which allows a malicious remote to permanently delete local data by abusing dangerous error handling, when share channels were enabled.
CVE-2023-3615Mattermost iOS app fails to properly validate the server certificate while initializing the TLS connection allowing a network attacker to intercept the WebSockets connection.
BDU:2025-13336Уязвимость реализации протокола OAuth приложения для обмена мгновенными сообщениями Mattermost связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности
BDU:2025-13332Уязвимость приложения для обмена мгновенными сообщениями Mattermost связана с недостатками процедуры авторизации при обработке параметра RelayState. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности
BDU:2025-11487Уязвимость приложения для обмена мгновенными сообщениями Mattermost связана с переадресацией URL на ненадежный сайт при обработке параметра redirect_to. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить фишинг-атаки с помощью специально созданной ссылки
CVE-2023-48268Mattermost fails to limit the amount of data extracted from compressed archives during board import in Mattermost Boards allowing an attacker to consume excessive resources, possibly leading to Denial of Service, by importing a board using a specially crafted zip (zip bomb).
CVE-2023-4108Mattermost fails to sanitize post metadata during audit logging resulting in permalinks contents being logged
CVE-2023-40703Mattermost fails to properly limit the characters allowed in different fields of a block in Mattermost Boards allowing a attacker to consume excessive resources, possibly leading to Denial of Service, by patching the field of a block using a specially crafted string.
CVE-2023-2514Mattermost Sever fails to redact the DB username and password before emitting an application log during server initialization.
CVE-2021-37861Mattermost 6.0.2 and earlier fails to sufficiently sanitize user's password in audit logs when user creation fails.
CVE-2020-13891An issue was discovered in Mattermost Mobile Apps before 1.31.2 on iOS. Unintended third-party servers could sometimes obtain authorization tokens, aka MMSA-2020-0022.
BDU:2026-07536Уязвимость приложения для обмена мгновенными сообщениями Mattermost связана с неконтролируемым расходом ресурсов в результате обработки HTTP-запросов большого размера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2026-07533Уязвимость модуля msgpack приложения для обмена мгновенными сообщениями Mattermost связана с неконтролируемым расходом памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании