PT-2026-57209 · Maxkb · Maxkb
Publicado
2026-07-10
·
Atualizado
2026-07-10
·
CVE-2026-54149
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
MaxKB versões anteriores a 2.10.0-lts
Descrição
Existe um problema onde a funcionalidade de importação de ferramentas em
apps/tools/serializers/tool.py e o modo de referência MCP em apps/application/chat pipeline/step/chat step/impl/base chat step.py não validam consistentemente o tipo de transporte MCP. Isso permite que um usuário autenticado importe um arquivo .tool contendo um transporte stdio—um método usado para iniciar processos locais—com comandos maliciosos. Quando acionado por meio de um nó de Chat de IA, o MultiServerMCPClient executa esses comandos arbitrários do sistema no servidor.Recomendações
Atualize o MaxKB para a versão 2.10.0-lts.
Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Maxkb