무슨 일이 있었나
Mattermost의 세 가지 릴리스 브랜치 버전들은 Agents 플러그인 MCP 서버 구성 요소에서 내부 또는 개인 IP 범위에 대해 첨부 파일 URL을 검증하지 못합니다. stdio 모드에서 MCP 서버 접근 권한이 있는 인증된 공격자는 첨부 파일 대상으로 내부 네트워크 URL을 제공하여 내부 인프라에 대한 서버 측 요청을 유발할 수 있습니다(CVSS 6.5).
왜 중요한가
Mattermost의 Agents 플러그인은 AI 에이전트를 팀 커뮤니케이션 워크플로우에 통합하도록 특별히 설계되었습니다. MCP 서버 컨텍스트에서의 SSRF는 공격자가 AI 에이전트 인프라를 외부에서 접근 불가능해야 하는 내부 서비스, 데이터베이스 API, AI 모델 엔드포인트, 클라우드 메타데이터 서비스에 도달하기 위한 피벗으로 사용할 수 있음을 의미합니다.
공격 경로
Mattermost Agents 플러그인 MCP 서버는 첨부 파일 URL을 내부 또는 개인 IP 범위에 대해 검증하지 못합니다. stdio 모드에서 MCP 서버에 접근 권한이 있는 공격자는 내부 네트워크 주소를 가리키는 제작된 첨부 파일 URL을 제공하여 Mattermost 서버가 공격자를 대신하여 내부 서비스에 대한 SSRF 요청을 하도록 할 수 있습니다.
영향받는 시스템
Mattermost 10.11.x ≤ 10.11.18, 11.5.x ≤ 11.5.6, 11.6.x ≤ 11.6.3
완화 방안
Mattermost를 10.11.19+, 11.5.7+ 또는 11.6.4+로 업데이트하십시오. 참조: https://mattermost.com/security-updates