Inženjer za računalnu sigurnost u Nacionalnom CERT-u (F. Omazić) je prilikom testiranja popularne platforme za sigurne komunikacije “Mattermost” otkrio ranjivost nultog dana (zero-day vulnerability).

S obzirom na to da se radilo o lokalnoj instanci Mattermost poslužitelja, kao PoC (Proof of concept) izrađena je i zero-day exploit skripta, to jest skripta koja iskorištava pronađenu ranjivost.

Prema pravilima odgovornog prijavljivanja ranjivosti, ranjivost je prijavljena Mattermost razvojnom timu programera i inženjera za računalnu sigurnost uz svu potrebnu dokumentaciju, opis ranjivosti i priloženi exploit kôd kao PoC te potencijalni popravak.

Također, radi odgovornog prijavljivanja sve dodatne ranjivosti, exploit kôd i greške vezane uz ovaj pronalazak neće biti objavljene.

Ranjivost u pitanju dobila je dodjelu CVSS ranga Medium, a radi se o ranjivosti koja dozvoljava uskraćivanje usluge (Denial of service) pomoću jednostavne programske skripte koja šalje modificirane zahtjeve poslužitelju i tako iskorištava niz ranjivosti.

Mattermost tim javno je izrazio zahvale za doprinos razvoju Mattermost platforme: 
– https://mattermost.com/security-vulnerability-report/
te
– https://mattermost.com/security-updates/ (MMSA-2023-00171) 

Te je dodijeljen CVE broj kao oznaka ranjivosti:
CVE-2023-2785

Reference:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2785
https://nvd.nist.gov/vuln/detail/CVE-2023-2785

CERT.hr nastavlja suradnju i korištenje Mattermost platforme te izražava izuzetno zadovoljstvo biti od koristi projektu kao što je Mattermost sa svojim doprinosima.