Kerentanan  ·  2026-07-11

MaxKB — Inconsistent MCP Transport Validation Enables Unauthorized Tool/Server Reference (CVSS 8.8)

KerentananHigh dampakGlobalCVE-2026-54149
MaxKB, asisten AI enterprise open-source, tidak secara konsisten memvalidasi tipe transport MCP dalam fungsionalitas tool-import-nya (apps/tools/serializers/tool.py) dan mode referensi MCP (apps/application/chat_pipeline/step/chat_step/impl/base_chat_step.py), memungkinkan penyerang terautentikasi mereferensikan atau mengimpor tool melalui jalur transport yang tidak dimaksudkan.
MaxKB adalah platform asisten AI enterprise-deployed yang mengintegrasikan server tool MCP; validasi transport yang tidak konsisten dalam jalur import/referensi tool dapat memungkinkan bypass boundary kepercayaan yang dimaksudkan untuk invokasi tool MCP, risiko signifikan untuk asisten agentic dengan kemampuan tool-calling.
Penyerang terautentikasi mengimpor atau mereferensikan tool/server MCP menggunakan tipe transport yang tidak divalidasi, melewati pembatasan kepercayaan yang dimaksudkan
MaxKB < 2.10.0-lts
Upgrade ke MaxKB ≥2.10.0-lts
GitHub release notes
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →