事件经过
Mattermost 跨三个发布分支中的多个版本未能在 Agents 插件 MCP 服务器组件中针对内部或私有 IP 范围验证附件 URL。在 stdio 模式下拥有 MCP 服务器访问权限的已认证攻击者可以提供内部网络 URL 作为附件目标,触发对内部基础设施的服务器端请求(CVSS 6.5)。
影响分析
Mattermost 的 Agents 插件专门设计用于将 AI 代理集成到团队通信工作流中。MCP 服务器背景下的 SSRF 意味着攻击者可以使用 AI 代理基础设施作为枢纽以访问内部服务、数据库 API、AI 模型端点和不应该外部可访问的云元数据服务。
攻击途径
Mattermost Agents 插件 MCP 服务器未能针对内部或私有 IP 范围验证附件 URL。拥有 stdio 模式下 MCP 服务器访问权限的攻击者可以提供指向内部网络地址的精心构造的附件 URL,导致 Mattermost 服务器代表攻击者向内部服务发出 SSRF 请求。
受影响系统
Mattermost 10.11.x ≤ 10.11.18, 11.5.x ≤ 11.5.6, 11.6.x ≤ 11.6.3
缓解措施
将 Mattermost 更新到 10.11.19+、11.5.7+ 或 11.6.4+。参见:https://mattermost.com/security-updates