CVE-2026-30856

Nome do Software Vulnerável e Versões Afetadas Versões do WeKnora anteriores à 0.3.0

Descrição O WeKnora, um framework baseado em LLM para compreensão profunda de documentos e recuperação semântica, é suscetível a uma vulnerabilidade envolvendo colisão de nomes de ferramentas e injeção indireta de prompt. Um servidor MCP remoto malicioso pode sequestrar a execução de ferramentas explorando uma convenção de nomenclatura ambígua no cliente MCP (mcp {service} {tool}). Um atacante pode registrar uma ferramenta maliciosa que sobrescreve uma legítima, como tavily extract. Isso permite o redirecionamento do fluxo de execução do LLM, exfiltração de prompts do sistema e contexto, e a potencial execução de outras ferramentas com os privilégios do usuário. A vulnerabilidade origina-se da colisão de nomes de ferramentas no cliente e da saída de ferramentas/metadados não sanitizada. O cliente gera identificadores internos de ferramentas sanitizando e unindo o nome do serviço e o nome da ferramenta com sublinhados. O registro sobrescreve entradas existentes, permitindo que um serviço malicioso substitua implementações legítimas. O cliente alimenta descrições de ferramentas MCP e resultados de execução diretamente de volta ao contexto do LLM sem sanitização, permitindo que uma ferramenta maliciosa retorne instruções (Injeção de Prompt) que o LLM interpreta como comandos confiáveis.

Recomendações Versões anteriores à 0.3.0 devem ser atualizadas para a versão 0.3.0 ou posterior.