平台
go
组件
github.com/mattermost/mattermost-server
修复版本
10.5.9
10.5.10
10.5.10+incompatible
CVE-2025-47700 描述了 Mattermost Server 的 Agents 插件中的服务器端请求伪造 (SSRF) 漏洞。该漏洞允许攻击者通过伪造请求访问 Mattermost Server 无法直接访问的内部资源,可能导致敏感信息泄露。该漏洞影响 Mattermost Server 10.5.10 之前的版本,建议用户尽快升级至 10.5.10+incompatible 版本以缓解风险。
攻击者利用此 SSRF 漏洞可以发起对内部网络的请求,访问 Mattermost Server 无法直接访问的资源。这可能包括访问内部 API、数据库或其他敏感服务。攻击者可以通过构造恶意的请求来获取敏感信息,例如配置数据、用户凭据或内部系统状态。虽然 CVSS 评分为低,但如果 Mattermost Server 部署在具有敏感内部资源的网络中,该漏洞的潜在影响仍然不可忽视。攻击者可能利用此漏洞作为进一步攻击的跳板,例如横向移动到其他内部系统。
目前尚未公开发现针对此漏洞的利用代码,但 SSRF 漏洞通常被认为是易于利用的。该漏洞已于 2025 年 8 月 29 日公开披露。由于 Mattermost Server 广泛应用于企业内部沟通,因此该漏洞可能受到攻击者的关注。建议密切关注安全社区的动态,以获取有关此漏洞的最新信息。
Organizations utilizing Mattermost Server with the Agents Plugin enabled are at risk. This includes teams relying on the Agents Plugin for integrations with external services or internal systems. Environments with less stringent network segmentation policies are particularly vulnerable.
• go / server:
ps aux | grep "mattermost" | grep "Agents Plugin"• generic web:
curl -I https://<mattermost_server>/plugins/agents/ # Check for unexpected responses or headersdisclosure
漏洞利用状态
EPSS
0.03% (10% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是升级 Mattermost Server 至 10.5.10+incompatible 版本,该版本修复了此 SSRF 漏洞。如果无法立即升级,可以考虑实施一些临时缓解措施。例如,可以配置 Mattermost Server 的防火墙或网络策略,以限制其对外部资源的访问。此外,可以审查 Agents 插件的配置,确保其仅允许访问必要的资源。如果升级导致兼容性问题,请查阅 Mattermost 官方文档以获取回滚步骤。建议在升级后验证修复是否有效,例如通过尝试触发 SSRF 漏洞来确认。
将 Mattermost Server 更新到 10.10.0 或更高版本。这修复了允许通过发布操作执行恶意链接的漏洞。更新将阻止 Agents 插件处理空请求体,从而避免攻击。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-47700 是 Mattermost Server 的 Agents 插件中发现的服务器端请求伪造 (SSRF) 漏洞,允许攻击者伪造请求访问内部资源。
如果您正在使用 Mattermost Server 10.5.10 之前的版本,则可能受到此漏洞的影响。请尽快升级至 10.5.10+incompatible 版本。
建议升级 Mattermost Server 至 10.5.10+incompatible 版本。如果无法升级,请考虑实施临时缓解措施,例如配置防火墙或审查 Agents 插件的配置。
目前尚未公开发现针对此漏洞的利用代码,但由于 SSRF 漏洞通常易于利用,因此建议密切关注安全动态。
请查阅 Mattermost 官方安全公告,以获取有关此漏洞的详细信息和修复指南:[https://mattermost.com/security/](https://mattermost.com/security/)
上传你的 go.mod 文件,立即知道是否受影响。