PT-2026-57209 · Maxkb · Maxkb

Publicado

2026-07-10

·

Atualizado

2026-07-10

·

CVE-2026-54149

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas MaxKB versões anteriores a 2.10.0-lts
Descrição Existe um problema onde a funcionalidade de importação de ferramentas em apps/tools/serializers/tool.py e o modo de referência MCP em apps/application/chat pipeline/step/chat step/impl/base chat step.py não validam consistentemente o tipo de transporte MCP. Isso permite que um usuário autenticado importe um arquivo .tool contendo um transporte stdio—um método usado para iniciar processos locais—com comandos maliciosos. Quando acionado por meio de um nó de Chat de IA, o MultiServerMCPClient executa esses comandos arbitrários do sistema no servidor.
Recomendações Atualize o MaxKB para a versão 2.10.0-lts.

Exploit

Correção

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-54149

Produtos afetados

Maxkb