リモートホストにインストールされているバージョンの Mattermost サーバーは MMSA-2024-00337、 、 MMSA-2025-00493、 MMSA-2025-00540 のアドバイザリで言及されているように、複数の脆弱性の影響を受けます。

  - Mattermost バージョン <11 は、アーカイブされたチャネル検索 API へのアクセスを適切に制限できません。これにより、ゲストユーザーは、「/api/v4/teams/{team_id}/channels/search_archived」エンドポイントを通じて、アーカイブされたパブリックチャネルを発見することが可能です。CVE-2025-11776

  - Mattermost バージョン11.0 は、「ユーザーにアーカイブされたチャネルの表示を許可」設定を適切に実施できません。これにより、通常のユーザーが、後続のスレッドから「チャネルで開く」機能を介してアーカイブされたチャネルコンテンツおよびファイルにアクセスする可能性があります。CVE-2025-41436

  - バージョン より前の Mattermost は、WebSocket 接続で多要素認証の実施に失敗しています。これにより、認証されていないユーザーが、WebSocket イベントを通じて機密情報にアクセスする可能性があります。CVE-2025-55070

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Mattermost Server < 11.0.0 複数の脆弱性MMSA-2024-00337、 MMSA-2025-00493、 MMSA-2025-00540]

high Nessus プラグイン ID 275845

バージョン 1.4