Penjelasan teknis
Versi Mattermost 11.5.x hingga dan termasuk 11.5.1 gagal memverifikasi keanggotaan saluran saat memproses penulisan ulang pesan berbantuan AI. Ini memungkinkan penyerang yang sudah diautentikasi untuk membaca konten utas dalam saluran pribadi dan pesan langsung yang tidak mereka miliki akses dengan mengirimkan permintaan yang dirancang ke endpoint penulisan ulang posting.
Vektor serangan
Penyerang yang sudah diautentikasi dapat mengirimkan permintaan penulisan ulang pesan ke endpoint penulisan ulang berbantuan AI untuk pesan dalam saluran pribadi atau pesan langsung di luar cakupan otorisasi mereka. Karena endpoint tidak memvalidasi bahwa pengguna yang meminta memiliki keanggotaan di saluran target, respons penulisan ulang AI mencakup konten pesan yang tidak sah, secara efektif membocorkan komunikasi pribadi.
Sistem yang terdampak
Mattermost Team Edition dan Enterprise Edition versi 11.5.0 hingga 11.5.1 dengan fitur penulisan ulang pesan berbantuan AI diaktifkan. Mattermost adalah platform kolaborasi tim sumber terbuka yang banyak digunakan di lingkungan perusahaan dan pemerintah.
Mitigasi
Upgrade ke Mattermost versi 11.5.2 atau lebih baru, yang menambahkan validasi keanggotaan saluran ke endpoint penulisan ulang AI. Organisasi yang tidak dapat upgrade segera harus menonaktifkan fitur penulisan ulang pesan berbantuan AI atau membatasi ketersediaannya hanya untuk pengguna terpercaya. Tinjau log akses untuk permintaan POST yang tidak terduga ke endpoint `/api/v4/posts/*/rewrite` dan audit apakah ada pengguna yang tidak sah mengakses konten saluran pribadi.