CVE-2025-10545CVE-2025-10545是Mattermost团队协作平台中的一个访问控制绕过漏洞。该漏洞源于Mattermost服务器在处理频道成员添加请求时,未能正确验证访客用户(guest user)的权限边界。具体而言,当访客用户通过 `/api/v4/channels/{channel_id}/members` 端点向其所在的私有频道添加成员时,系统未对添加操作进行充分的权限校验,导致访客用户能够将任意团队成员(包括非频道成员的用户)添加到其私有频道中。
该漏洞由Mattermost安全团队通过负责任的漏洞披露流程发现并报告,披露日期为2025年10月16日。漏洞影响Mattermost 10.5.x系列中10.5.10及以下版本,以及10.11.x系列中10.11.2及以下版本。CVSS 3.1评分为3.1分,属于低危级别。虽然该漏洞的危害等级较低,但其本质上属于权限控制缺陷,可能导致信息泄露风险——访客用户可绕过设计限制将非预期的成员拉入私有频道,从而获取频道内的敏感对话内容,违反了Mattermost对访客用户角色的安全设计预期。
Mattermost作为广泛应用于企业协作的开源平台,其权限模型的安全性至关重要。访客用户通常被设计为只能访问被明确邀请的频道,且不能自行扩展访问范围。此漏洞打破了这一安全边界,虽然需要低权限认证(PR:L)且攻击条件较为复杂(AC:H),但在企业环境中仍可能造成信息泄露或权限越界等安全问题。建议相关用户尽快升级至修复版本以消除风险。
Mattermost的频道成员管理API端点 `/api/v4/channels/{channel_id}/members` 负责处理频道成员的添加操作。在正常的权限模型中,访客用户(guest user)应当受到严格的权限限制:他们只能查看自己被明确加入的频道内容,且不应具备向频道添加新成员的权限。
该漏洞的根本原因在于服务器端在处理POST请求至该端点时,未对发起请求的用户角色进行充分的权限校验。具体而言,当一个访客用户(具有低权限角色)向其所在的私有频道发送成员添加请求时,服务器未能正确识别该用户的访客身份并阻止其添加非预期的团队成员。攻击者只需构造一个包含目标用户ID的POST请求,即可将任意团队成员添加到自己的私有频道中。
利用方式如下:
1. 攻击者需要拥有一个有效的Mattermost访客账号凭证;
2. 攻击者需要是某个私有频道的成员(作为访客被邀请进入);
3. 攻击者通过API调用 `/api/v4/channels/{channel_id}/members`,在请求体中指定要添加的目标用户ID;
4. 由于权限校验缺陷,服务器会成功处理该请求,将目标用户添加到频道中;
5. 添加成功后,频道内的所有历史消息和未来对话将对新成员可见。
该漏洞的攻击复杂度较高(AC:H),因为需要有效的认证凭证和特定的频道成员身份条件。但一旦满足这些前置条件,利用过程非常简单直接,无需用户交互(UI:N),且可通过网络远程执行(AV:N)。