CVE-2025-31363

Nome do Software Vulnerável e Versões Afetadas Versões do Mattermost 9.11.x até 9.11.9 Versões do Mattermost 10.4.x até 10.4.2 Versões do Mattermost 10.5.x até 10.5.0

Descrição Esta vulnerabilidade permite que um usuário autenticado exfiltre dados de um servidor arbitrário acessível à vítima mediante a realização de uma injeção de prompt na ferramenta Jira do plugin de IA. Isso se deve à falha em restringir os domínios que o LLM pode solicitar para contatar serviços upstream.

Recomendações Para as versões 9.11.x até 9.11.9, considere desabilitar a ferramenta Jira do plugin de IA até que um patch esteja disponível. Para as versões 10.4.x até 10.4.2, restrinja o acesso à ferramenta Jira para minimizar o risco de exploração. Para as versões 10.5.x até 10.5.0, evite usar a ferramenta Jira do plugin de IA até que o problema seja resolvido.