Mattermost Desktop
Уязвимости
28
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.01656
Распределение по критичности
Критический
2
Высокий
4
Средний
16
Низкий
6
Затронутые диапазоны версий
5.13.2–5.13.3< 3.4.0< 4.0.0< 4.2.2< 4.3.0< 4.4.0< 5.11.0< 5.13.1.0< 5.13.4< 5.5.1< 5.9.0< 6.0.0≤ 5.13.0≤ 5.2.2≤ 5.4.0≤ 5.4.13.0≤ 5.7.0
Также сопоставлено как (исходные строки): mattermost_desktop
Топ уязвимостей
CVE-2019-20856В Mattermost Desktop App до версии 4.3.0 в macOS обнаружена проблема. Она позволяет осуществить внедрение dylib.
CVE-2016-11064В Mattermost Desktop App до версии 3.4.0 обнаружена проблема. Строки могут быть выполнены как код через инъекцию.
CVE-2019-20861В Mattermost Desktop App до версии 4.2.2 обнаружена проблема. Она позволяет злоумышленникам выполнять произвольный код через специально созданную ссылку.
CVE-2024-39613Mattermost Desktop App версии <=5.8.0 не указывает абсолютный путь при поиске файла cmd.exe, что позволяет локальному злоумышленнику, который может поместить файл cmd.exe в папку загрузок машины пользователя, вызвать удаленное выполнение кода на этой машине.
CVE-2026-6517Mattermost Desktop App версии <=6.1 5.5.13.0 не могут ограничить список разрешений доменов, в которые были направлены учетные данные NTLM в приложении Mattermost Desktop, которое позволяет любому пользователю на сервере без пропуска изображения, включенного, перехватывать учетные данные других пользователей посредством встраивания изображения, которое направляется на внешний веб-сервер. Состоятельный консультативный идентификатор: MMSA-2026-00651
CVE-2020-14456Проблема обнаружена в Mattermost Desktop App до версии 4.4.0. Политика Same Origin Policy обрабатывается неправильно во время принятия решений о контроле доступа для веб-API, также известный как MMSA-2020-0006.
CVE-2026-8683Версии Mattermost Desktop App <=6.1 5.5.13.0 не учитываются при попытке открыть чрезвычайно длинные URL-адреса в приложении Mattermost Desktop, что позволяет владельцу вредоносного сервера сломать приложение, включая скрипт для вызова window.open на очень большом URL. Важнее всего консультативный идентификатор: MMSA-2026-00652
CVE-2026-3471Версии Mattermost Desktop App <=6.1 6.0.1 5.4.13.0 не могут предотвратить загрузку недействительного URL-адреса во всплывающем окне в приложении Mattermost Desktop, которое позволяет владельцу вредоносного сервера повторить сбой приложения через вызов {{window.open('javascript:alert()))}}. Соответственно, самый консультативный идентификатор: MMSA-2026-00618
CVE-2026-1046Mattermost Desktop версии приложения <=6.0 6.2.0 5.2.13.0 не в состоянии проверки ссылок справки, которые позволяют вредоносному серверу Mattermost выполнять произвольные исполняемые файлы в системе пользователя с помощью пользователя, нажимающего на определенные элементы в меню Справка Mattermost Advisory ID: MMSA-2026-00577
CVE-2025-58084Mattermost Desktop App версии <= 5.13.0 не могут проверить URL-адреса, внешние по отношению к настроенным серверам Mattermost, что позволяет злоумышленнику на сервере, который пользователь настроил, сломать приложение пользователя, отправив пользователю уродливый URL.
CVE-2024-45835Версии Mattermost Desktop App <=5.8.0 недостаточно конфигурируют Electron Fuses, что позволяет злоумышленнику собирать файлы cookie Chromium или злоупотреблять другими неправильными конфигурациями через удаленный/локальный доступ.
CVE-2020-14455Проблема обнаружена в Mattermost Desktop App до версии 4.4.0. Запрос HTTP Basic Authentication обрабатывается неправильно, что позволяет осуществлять фишинг, также известный как MMSA-2020-0007.
CVE-2025-55035Mattermost Desktop App версии <=5.13.0 не могут управлять модальмиками в приложении Mattermost Desktop, которое останавливает пользователя с сервером, который использует базовую аутентификацию, от доступа к их серверу, что позволяет злоумышленнику, предоставляющий вредоносный сервер пользователю, отказывать пользователю в использовании Настольным приложением, путем настройки пользователя вредоносного сервера и принуждения к всплыванию модального элемента, которое не может быть закрыто.
CVE-2024-37182Приложение Mattermost Desktop версии <=5.7.0 неправильно запрашивает разрешение при открытии внешних URL-адресов, что позволяет удаленному злоумышленнику заставить жертву через Интернет запускать произвольные программы в системе жертвы через пользовательские схемы URI.
CVE-2020-14454Проблема обнаружена в Mattermost Desktop App до версии 4.4.0. Злоумышленники могут открывать веб-страницы в настольном приложении, потому что перенаправление сервера обрабатывается неправильно, также известный как MMSA-2020-0008.
CVE-2023-5339Mattermost Desktop не устанавливает соответствующий уровень ведения журнала во время первого запуска после свежей установки, что приводит к регистрации всех нажатий клавиш, включая ввод пароля.
CVE-2023-2000Mattermost Desktop App не может проверить перенаправление сервера Mattermost и переходит на произвольный веб-сайт.
CVE-2024-39772Mattermost Desktop App версии <=5.8.0 не обеспечивает защиту функциональности захвата экрана, что позволяет злоумышленнику незаметно захватывать высококачественные скриншоты через JavaScript API.
CVE-2023-5876Mattermost не выполняет надлежащую проверку RegExp, построенного на основе пути URL-адреса сервера, что позволяет злоумышленнику, контролирующему зарегистрированный сервер, организовать отказ в обслуживании.
CVE-2023-5875Mattermost Desktop неправильно обрабатывает разрешения или не запрашивает согласие пользователя на определенные конфиденциальные разрешения, что позволяет использовать мультимедиа с вредоносного сервера Mattermost.
CVE-2018-21265Обнаружена проблема в Mattermost Desktop App до версии 4.0.0. Неправильно обрабатывалась политика Same Origin для setPermissionRequestHandler (например, видео, аудио и уведомления).
CVE-2026-1628Версии Mattermost Desktop App <=5.13.3 не могут присоединить слушателей, ограничивающих навигацию на внешних сайтах в приложении Mattermost, что позволяет вредоносному серверу раскрывать функциональность предзагрузочной скрипта на ненадежных серверах, открывая внешнюю ссылку на своем сервере Mattermost. Важнейший консультативный идентификатор: MMSA-2026-00596
CVE-2025-13326Версии Mattermost Desktop App <6.0.0 не могут включить Hardened Runtime в приложении Mattermost Desktop при упаковке для Mac App Store, что позволяет злоумышленнику наследовать разрешения TCC путем копирования бинарной системы в папку tmp.
CVE-2026-4643Mattermost Desktop App версии <=6.1 6.0.1 5.4.13.0 не могут предотвратить закрытие серверного контента в приложении Mattermost Desktop, что позволяет вредоносному серверу или плагину сбивать с толку настольный клиент через вызов {{window.close()}} в контексте рендерера, что приводит к отказу в обслуживании на уровне клиента. Соответствует важному консультативному идентификатору: MMSA-2026-00633
CVE-2025-1398Версии Mattermost Desktop App <=5.10.0 явно объявили ненужные права доступа macOS, что позволяет злоумышленнику с удаленным доступом обойти прозрачность, согласие и контроль (TCC) через инъекцию кода.