Katalog CVE

CVE-2026-4339

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.10%

Percentyl 1 — wyżej niż 1% wszystkich znanych CVE

Streszczenie

Podatność w pluginie Mattermost Agents MCP server pozwala atakującemu z dostępem do serwera MCP w trybie stdio na wykonanie fałszowania żądań po stronie serwera (SSRF) poprzez podanie wewnętrznych adresów URL jako załączników w żądaniach tworzenia postów. Problem dotyczy wersji 10.11.x <= 10.11.18, 11.6.x <= 11.6.3 oraz 11.5.x <= 11.5.6.

Ocena ryzyka

Atakujący może wykorzystać tę lukę do eksfiltracji danych z wewnętrznych usług sieciowych, co może prowadzić do wycieku poufnych informacji organizacji.

Rekomendacja

Zaleca się natychmiastową aktualizację Mattermost do wersji 10.11.19, 11.6.4 lub 11.5.7, w zależności od używanej gałęzi, oraz wdrożenie walidacji adresów URL załączników.

Oryginalny opis (angielski, źródło NVD)

Mattermost versions 10.11.x <= 10.11.18, 11.6.x <= 11.6.3, 11.5.x <= 11.5.6 fail to validate attachment URLs against internal or private IP ranges in the Mattermost Agents plugin MCP server which allows an attacker with access to the MCP server in stdio mode to perform server-side request forgery (SSRF) and exfiltrate data from internal network services via supplying internal URLs as file attachments in post creation requests.. Mattermost Advisory ID: MMSA-2026-00635

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS