脆弱性  ·  2026-07-11

MaxKB — 一貫性のない MCP トランスポート検証により認証されていないツール/サーバー リファレンスが可能になります (CVSS 8.8)

脆弱性High 影響度GlobalCVE-2026-54149
オープンソースのエンタープライズ AI アシスタントである MaxKB は、ツール インポート機能 (apps/tools/serializers/tool.py) および MCP 参照モード (apps/application/chat_pipeline/step/chat_step/impl/base_chat_step.py) で MCP トランスポート タイプを一貫して検証していないため、認証済み攻撃者が意図しないトランスポート パスを介してツールを参照またはインポートできます。
MaxKB はエンタープライズ デプロイ型 AI アシスタント プラットフォームで MCP ツール サーバーを統合しています。ツール インポート/参照パスでのトランスポート検証の一貫性の欠如により、MCP ツール呼び出しの意図した信頼境界のバイパスが可能になり、ツール呼び出し機能を備えたエージェント型アシスタントにとって重大なリスクです。
認証済み攻撃者が検証されていないトランスポート タイプを使用して MCP ツール/サーバーをインポートまたは参照し、意図した信頼制限をバイパスします。
MaxK
Upgrade to MaxKB ≥2.10.0-lts
GitHub release notes
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →