事件经过
CVE-2026-3472 (CVSS 3.5 低危) 发布于 2026-06-26。Mattermost 对普通发布应用 markdown 图像渲染限制,但对 AI 机器人工具结果发布不应用。攻击者若能向工具结果中注入内容(例如通过 AI 代理的提示注入将结果发布到 Mattermost),可以向外部服务器泄露数据。在与 CVE-2026-4339 相同的版本中修补。
影响分析
这是一条具体的提示注入到数据泄露链:用户若欺骗 AI 代理(通过工具输出的间接提示注入)在其 Mattermost 响应中包含 markdown 图像 URL,即可实现从协作平台的带外数据泄露——展示了 AI 代理输出渠道如何成为攻击面。
攻击途径
Mattermost 未能正确对 AI 机器人工具结果发布应用 markdown 图像渲染限制。已认证的攻击者向工具结果发布中注入 markdown 图像语法(例如 ``),导致 Mattermost 客户端渲染图像并向攻击者控制的服务器发送 HTTP 请求,泄露用户/会话上下文。
受影响系统
Mattermost 10.11.x ≤ 10.11.18、11.5.x ≤ 11.5.6、11.6.x ≤ 11.6.3(Agents 插件 AI 机器人工具结果发布)
缓解措施
升级至 Mattermost 10.11.19 / 11.5.7 / 11.6.4。公告:https://mattermost.com/security-updates