CVE-2025-25274

CVE-2025-25274

Título es
CVE-2025-25274

Vie, 21/03/2025 – 09:15

Tipo
CWE-863

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2025-25274

Descripción es
Las versiones de Mattermost 10.4.x <= 10.4.2, 10.3.x <= 10.3.3, 9.11.x <= 9.11.8 no logran restringir la ejecución de comandos en canales archivados, lo que permite que los usuarios autenticados ejecuten comandos en canales archivados.

Descripción en
Mattermost versions 10.4.x

21/03/2025
21/03/2025
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)
4.30

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
MEDIUM

Referencias

  • https://mattermost.com/security-updates

    • Enviar en el boletín
    Off

    CVE-2025-25068

    CVE-2025-25068

    Título es
    CVE-2025-25068

    Vie, 21/03/2025 – 09:15

    Tipo
    CWE-306

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-25068

    Descripción es
    Las versiones de Mattermost 10.4.x <= 10.4.2, 10.3.x <= 10.3.3, 9.11.x <= 9.11.8, 10.5.x <= 10.5.0 no implementan MFA en los endpoints del complemento, lo que permite a atacantes autenticados eludir las protecciones MFA a través de solicitudes de API a rutas específicas del complemento.

    Descripción en
    Mattermost versions 10.4.x

    21/03/2025
    21/03/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

    Gravedad 3.1 (CVSS 3.1 Base Score)
    7.50

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://mattermost.com/security-updates

    • Enviar en el boletín
    Off

    CVE-2025-24920

    CVE-2025-24920

    Título es
    CVE-2025-24920

    Vie, 21/03/2025 – 09:15

    Tipo
    CWE-863

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-24920

    Descripción es
    Las versiones de Mattermost 10.4.x <= 10.4.2, 10.3.x <= 10.3.3, 9.11.x <= 9.11.8, 10.5.x <= 10.5.0 no restringen la creación y actualización de marcadores en canales archivados, lo que permite que los usuarios autenticados creen o actualicen marcadores en canales archivados.

    Descripción en
    Mattermost versions 10.4.x

    21/03/2025
    21/03/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    4.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://mattermost.com/security-updates

    • Enviar en el boletín
    Off

    CVE-2025-30179

    CVE-2025-30179

    Título es
    CVE-2025-30179

    Vie, 21/03/2025 – 09:15

    Tipo
    CWE-863

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-30179

    Descripción es
    Las versiones de Mattermost 10.4.x <= 10.4.2, 10.3.x <= 10.3.3, 9.11.x <= 9.11.8 no implementan MFA en ciertas API de búsqueda, lo que permite a atacantes autenticados eludir las protecciones de MFA a través de consultas de búsqueda de usuarios, canales o equipos.

    Descripción en
    Mattermost versions 10.4.x

    21/03/2025
    21/03/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    4.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://mattermost.com/security-updates

    • Enviar en el boletín
    Off

    CVE-2025-27933

    CVE-2025-27933

    Título es
    CVE-2025-27933

    Vie, 21/03/2025 – 09:15

    Tipo
    CWE-863

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-27933

    Descripción es
    Las versiones de Mattermost 10.4.x <= 10.4.2, 10.3.x <= 10.3.3, 9.11.x <= 9.11.8 no logran aplicar las restricciones de conversión de canales, lo que permite que los miembros con permiso para convertir canales públicos en privados también conviertan los privados en públicos.

    Descripción en
    Mattermost versions 10.4.x

    21/03/2025
    21/03/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    5.40

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://mattermost.com/security-updates

    • Enviar en el boletín
    Off

    CVE-2025-27715

    CVE-2025-27715

    Título es
    CVE-2025-27715

    Vie, 21/03/2025 – 09:15

    Tipo
    CWE-863

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-27715

    Descripción es
    Las versiones 9.11.x <= 9.11.8 de Mattermost no solicitan aprobación explícita antes de agregar un administrador de equipo a un canal privado, lo que provoca que los administradores de equipo se unan a canales privados a través de enlaces permanentes manipulados sin su consentimiento explícito.

    Descripción en
    Mattermost versions 9.11.x

    21/03/2025
    21/03/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    3.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    LOW

    Referencias

  • https://mattermost.com/security-updates

    • Enviar en el boletín
    Off

    CVE-2025-30344

    CVE-2025-30344

    Título es
    CVE-2025-30344

    Vie, 21/03/2025 – 06:15

    Tipo
    CWE-208

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-30344

    Descripción en
    An issue was discovered in OpenSlides before 4.2.5. During login at the /system/auth/login/ endpoint, the system's response times differ depending on whether a user exists in the system. The timing discrepancy stems from the omitted hashing of the password (e.g., more than 100 milliseconds).

    21/03/2025
    21/03/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    5.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://www.x41-dsec.de/lab/advisories/x41-2025-001-OpenSlides

    • Enviar en el boletín
    Off

    CVE-2025-30343

    CVE-2025-30343

    Título es
    CVE-2025-30343

    Vie, 21/03/2025 – 06:15

    Tipo
    CWE-24

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-30343

    Descripción en
    A directory traversal issue was discovered in OpenSlides before 4.2.5. Files can be uploaded to OpenSlides meetings and organized in folders. The interface allows users to download a ZIP archive that contains all files in a folder and its subfolders. If an attacker specifies the title of a file or folder as a relative or absolute path (e.g., ../../../etc/passwd), the ZIP archive generated for download converts that title into a path. Depending on the extraction tool used by the user, this might overwrite files locally outside of the chosen directory.

    21/03/2025
    21/03/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:N/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    3.00

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    LOW

    Referencias

  • https://www.x41-dsec.de/lab/advisories/x41-2025-001-OpenSlides

    • Enviar en el boletín
    Off

    CVE-2025-30345

    CVE-2025-30345

    Título es
    CVE-2025-30345

    Vie, 21/03/2025 – 06:15

    Tipo
    CWE-116

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-30345

    Descripción en
    An issue was discovered in OpenSlides before 4.2.5. When creating new chats via the chat_group.create action, the user is able to specify the name of the chat. Some HTML elements such as SCRIPT are filtered, whereas others are not. In most cases, HTML entities are encoded properly, but not when deleting chats or deleting messages in these chats. This potentially allows attackers to interfere with the layout of the rendered website, but it is unlikely that victims would click on deleted chats or deleted messages.

    21/03/2025
    21/03/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    3.50

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    LOW

    Referencias

  • https://www.x41-dsec.de/lab/advisories/x41-2025-001-OpenSlides

    • Enviar en el boletín
    Off

    CVE-2024-13903

    CVE-2024-13903

    Título es
    CVE-2024-13903

    Vie, 21/03/2025 – 07:15

    Tipo
    CWE-119

    Gravedad v2.0
    5.00

    Gravedad 2.0 Txt
    MEDIUM

    Título en

    CVE-2024-13903

    Descripción en
    A vulnerability was found in quickjs-ng QuickJS up to 0.8.0. It has been declared as problematic. Affected by this vulnerability is the function JS_GetRuntime of the file quickjs.c of the component qjs. The manipulation leads to stack-based buffer overflow. The attack can be launched remotely. Upgrading to version 0.9.0 is able to address this issue. The patch is named 99c02eb45170775a9a679c32b45dd4000ea67aff. It is recommended to upgrade the affected component.

    21/03/2025
    21/03/2025
    Vector CVSS:4.0
    CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

    Vector CVSS:2.0
    AV:N/AC:L/Au:N/C:N/I:N/A:P

    Gravedad 4.0
    5.30

    Gravedad 4.0 txt
    MEDIUM

    Gravedad 3.1 (CVSS 3.1 Base Score)
    4.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://github.com/quickjs-ng/quickjs/commit/99c02eb45170775a9a679c32b45dd4000ea67aff

  • https://github.com/quickjs-ng/quickjs/issues/775

  • https://github.com/quickjs-ng/quickjs/releases/tag/v0.9.0

  • https://vuldb.com/?ctiid_300571=

  • https://vuldb.com/?id_300571=

  • https://vuldb.com/?submit_517394=

    • Enviar en el boletín
    Off