CVE-2026-54149 in MaxKB
요약
\~에 의해 VulDB • 2026. 07. 10.
MaxKB는 기업용 오픈소스 AI 어시스턴트입니다. 버전 2.10.0-lts 이전에서는 apps/tools/serializers/tool.py의 MaxKB 도구 가져오기 기능과 apps/application/chat_pipeline/step/chat_step/impl/base_chat_step.py의 MCP 참조 모드가 MCP 전송 유형을 일관되게 검증하지 않아, 인증된 사용자가 stdio 전송 방식과 악성 명령어를 포함한 .tool 파일을 가져오고 AI 채팅 노드를 통해 구성을 트리거하면 MultiServerMCPClient가 임의의 시스템 명령을 실행할 수 있습니다. 이 문제는 버전 2.10.0-lts에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.