Penjelasan teknis
Versi Mattermost 11.5.x hingga dan termasuk 11.5.1 gagal memverifikasi keanggotaan saluran saat memproses penulisan ulang pesan berbantu AI. Ini memungkinkan penyerang yang terauthentikasi untuk membaca konten thread di saluran pribadi dan pesan langsung yang tidak mereka miliki akses dengan mengirimkan permintaan yang dirancang ke endpoint penulisan ulang posting.
Vektor serangan
Penyerang yang terauthentikasi dapat mengirimkan permintaan penulisan ulang pesan ke endpoint penulisan ulang berbantu AI untuk pesan di saluran pribadi atau pesan langsung di luar ruang lingkup yang diotorisasi mereka. Karena endpoint tidak memvalidasi bahwa pengguna yang meminta memiliki keanggotaan di saluran target, respons penulisan ulang AI menyertakan konten pesan yang tidak sah, secara efektif mengungkapkan komunikasi pribadi.
Sistem yang terdampak
Mattermost Team Edition dan Enterprise Edition versi 11.5.0 hingga 11.5.1 dengan fitur penulisan ulang pesan berbantu AI diaktifkan. Mattermost adalah platform kolaborasi tim sumber terbuka yang banyak digunakan di lingkungan perusahaan dan pemerintah.
Mitigasi
Tingkatkan ke Mattermost versi 11.5.2 atau lebih baru, yang menambahkan validasi keanggotaan saluran ke endpoint penulisan ulang AI. Organisasi yang tidak dapat meningkatkan dengan segera harus menonaktifkan fitur penulisan ulang pesan berbantu AI atau membatasi ketersediaannya hanya untuk pengguna yang dipercaya. Tinjau log akses untuk permintaan POST yang tidak terduga ke endpoint `/api/v4/posts/*/rewrite` dan audit apakah pengguna yang tidak sah mengakses konten saluran pribadi.