CVE-2026-44847 in MaxKBinformação

Sumário

de VulDB • 26/05/2026

MaxKB é um assistente de IA de código aberto para empresas. Antes da versão 2.9.0, o endpoint de gatilho de webhook do MaxKB (/api/trigger/v1/webhook/{trigger_id}) estava acessível sem autenticação. A classe WebhookAuth retorna incondicionalmente (None, {}), o que o Django REST Framework interpreta como autenticação bem-sucedida. Combinado com a verificação opcional de token por gatilho e a ausência de aplicação de requisitos de token no backend, qualquer atacante não autenticado que conheça um ID de gatilho válido pode invocar os gatilhos de webhook para executar suas tarefas vinculadas. Esta vulnerabilidade foi corrigida na versão 2.9.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

07/05/2026

Divulgação

27/05/2026

Moderação

aceite

Entrada

VDB-365821

CPE

pronto

EPSS

0.00094

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44847
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44847
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44847/

VoltarVisão GeralPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!