CVE-2026-39417

Name of the Vulnerable Software and Affected Versions MaxKB versões anteriores a 2.8.0

Description Um problema de Execução Remota de Código existe no nó MCP do mecanismo de fluxo de trabalho. O sistema não valida adequadamente o JSON fornecido pelo usuário ao carregar mcp servers, pois a correção de um problema anterior restringiu apenas o caminho de código de referência. Como a variável mcp source é opcional, um invasor pode ignorar as restrições existentes omitindo-a ou fornecendo um valor de não referência. Ao enviar um payload JSON manipulado para a API de criação de fluxo de trabalho, um invasor pode injetar uma configuração de nó MCP usando transporte stdio com comandos e argumentos arbitrários, levando à execução de código quando o fluxo de trabalho é acionado via chat.

Recommendations Atualizar para a versão 2.8.0.