CVE-2026-54149 in MaxKBinformazioni

Riassunto

di VulDB • 10/07/2026

MaxKB è un assistente AI open-source per le imprese. Prima della versione 2.10.0-lts, la funzionalità di importazione degli strumenti nelle app (apps/tools/serializers/tool.py) e la modalità di riferimento MCP nella pipeline delle chat dell'applicazione (apps/application/chat_pipeline/step/chat_step/impl/base_chat_step.py) non convalidano in modo coerente il tipo di trasporto MCP, consentendo a un utente autenticato di importare un file .tool contenente un trasporto stdio con comandi dannosi e attivare la configurazione tramite un nodo AI Chat, così che MultiServerMCPClient esegua comandi di sistema arbitrari. Questo problema è stato risolto nella versione 2.10.0-lts.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

11/06/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!