何が起きたか
CVE-2026-3472(CVSS 3.5 Low)は2026-06-26に公開されました。Mattermostは通常のポストにはマークダウン画像レンダリング制限を適用していますが、AIボットツール結果ポストには適用していません。ツール結果に内容を注入できる攻撃者(例えば、結果をMattermostに投稿するAIエージェントのプロンプトインジェクション経由)は、外部サーバーへのデータ流出を実現できます。CVE-2026-4339と同じバージョンで修正されました。
なぜ重要か
これは具体的なプロンプトインジェクションからデータ流出への流れです。AIエージェント(ツール出力からの間接的なプロンプトインジェクション経由)をだましてそのMattermostレスポンスにマークダウン画像URLを含めるようにするユーザーは、コラボレーションプラットフォームからの帯域外データ流出を実現します。これはAIエージェント出力チャネルがどのように攻撃表面になるかを示しています。
攻撃経路
Mattermostはマークダウン画像レンダリング制限をAIボットツール結果ポストに適切に適用できていません。認証された攻撃者はマークダウン画像構文(例えば、``)をツール結果ポストに注入し、Mattermostクライアントが画像をレンダリングして攻撃者が制御するサーバーにHTTPリクエストを送信し、ユーザー/セッションコンテキストを漏らします。
影響を受けるシステム
Mattermost 10.11.x ≤ 10.11.18、11.5.x ≤ 11.5.6、11.6.x ≤ 11.6.3(Agents plugin AI bot tool result posts)
緩和策
Mattermost 10.11.19 / 11.5.7 / 11.6.4にアップグレードしてください。アドバイザリ: https://mattermost.com/security-updates