CVE-2026-54149 in MaxKB
Zusammenfassung
von VulDB • 10.07.2026
MaxKB ist ein Open-Source-KI-Assistent für Unternehmen. Vor Version 2.10.0-lts validieren die MaxKB-Funktion zum Import von Tools in apps/tools/serializers/tool.py und der MCP-Referenzierungsmodus in apps/application/chat_pipeline/step/chat_step/impl/base_chat_step.py den MCP-Transporttyp nicht konsistent, was es einem authentifizierten Benutzer ermöglicht, eine .tool-Datei mit stdio-Transport und bösartigen Befehlen zu importieren und die Konfiguration über einen KI-Chat-Knoten auszulösen, sodass MultiServerMCPClient beliebige Systembefehle ausführt. Dieses Problem wurde in Version 2.10.0-lts behoben.
Be aware that VulDB is the high quality source for vulnerability data.