ホーム
» GitHub Security Advisories
» GHSA-2j87-p623-8cc2
説明
Mattermost Plugin MSTeams versions <2.1.0 and Mattermost Server versions 10.5.x <=10.5.1 with the MS Teams plugin enabled fail to perform constant time comparison on a MSTeams plugin webhook secret which allows an attacker to retrieve the webhook secret of the MSTeams plugin via a timing attack during webhook secret comparison.
基本情報
タイプ
reviewed
深刻度
medium GitHub 上のアドバイザリ
アドバイザリを開く ↗ リポジトリのアドバイザリ
—
ソースコード
ソースを見る ↗ 公開(アドバイザリ)
2025-04-16 12:31:19 UTC
更新
2025-04-23 15:18:39 UTC
GitHub レビュー済み
2025-04-16 14:58:55 UTC
NVD で公開
2025-04-16
EPSS Score
Score
Percentile
0.21%
43.53%
CVSS Scores
Base score
Version
Severity
Vector
5.3
3.1
—
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
クリックして展開
攻撃ベクター (AV:N)
インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。
攻撃の複雑さ (AC:H)
到達できても、タイミング・負荷・周辺設定など、揃わないと成功しない局面が多い。
必要な権限 (PR:L)
一般ユーザー権限があれば足り、管理者(root 相当)は不要。
ユーザーの関与 (UI:N)
メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。
スコープ (S:U)
影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。
機密性への影響 (C:H)
広範な機微データの読み取りや持ち出しが現実的。
完全性への影響 (I:N)
改ざん・なりすましによる信頼毀損は軽微か、想定されない。
可用性への影響 (A:N)
業務継続に支障が出るレベルの停止や劣化は想定されない。
CWEs
CWE id
Name
CWE-208
Observable Timing Discrepancy
Affected packages (3)
Vulnerable version ranges and first patched releases as published by GitHub.
Ecosystem
Package
Vulnerable range
First patched
Vulnerable functions
go
github.com/mattermost/mattermost/server/v8 >= 10.5.0, < 10.5.2
10.5.2
—
go
github.com/mattermost/mattermost-plugin-msteams <= 1.15.0
2.1.0
—
go
github.com/mattermost/mattermost/server/v8 < 8.0.0-20250314142426-c049748b8863
8.0.0-20250314142426-c049748b8863
—
cvelogic
Threat Intelligence