何が起きたか
3つのリリースブランチ全体のMattermostは、Agents プラグインMCPサーバーコンポーネント内の内部またはプライベートIPレンジに対する添付ファイルURLを検証できません。MCPサーバーアクセス用のstdioモードで認証された攻撃者は、内部ネットワークURLを添付ファイルターゲットとして供給でき、サーバーサイドリクエストをトリガーして内部インフラストラクチャに送信します(CVSS 6.5)。
なぜ重要か
Mattermost's Agentsプラグインは特にチームコミュニケーションワークフローにAIエージェントを統合するよう設計されています。MCPサーバーコンテキストのSSFRは、攻撃者がAIエージェントインフラストラクチャをピボットとして使用できることを意味し、外部からアクセス可能であってはいけない内部サービス、
攻撃経路
The Mattermost Agents plugin MCP server fails to validate attachment URLs against internal or private IP ranges. An attacker with access to the MCP server in stdio mode can supply crafted attachment URLs pointing to internal network addresses, causing the Mattermost server to make SSRF requests to internal services on behalf of the attacker.
影響を受けるシステム
Mattermost 10.11.x ≤ 10.11.18, 11.5.x ≤ 11.5.6, 11.6.x ≤ 11.6.3
緩和策
Update Mattermost to 10.11.19+, 11.5.7+, or 11.6.4+. See: https://mattermost.com/security-updates