취약점  ·  2026-07-11

MaxKB — 일관성 없는 MCP 전송 검증으로 인한 무단 도구/서버 참조 (CVSS 8.8)

취약점High 영향도GlobalCVE-2026-54149
오픈소스 엔터프라이즈 AI 어시스턴트인 MaxKB는 도구 가져오기 기능(apps/tools/serializers/tool.py)과 MCP 참조 모드(apps/application/chat_pipeline/step/chat_step/impl/base_chat_step.py)에서 MCP 전송 유형을 일관성 있게 검증하지 않으므로, 인증된 공격자가 의도하지 않은 전송 경로를 통해 도구를 참조하거나 가져올 수 있습니다.
MaxKB는 MCP 도구 서버를 통합하는 엔터프라이즈 배포 AI 어시스턴트 플랫폼입니다. 도구 가져오기/참조 경로의 일관성 없는 전송 검증으로 인해 MCP 도구 호출을 위한 의도된 신뢰 경계 우회가 가능할 수 있으며, 이는 도구 호출 기능이 있는 에이전트 어시스턴트에 대한 심각한 위험입니다.
인증된 공격자가 검증되지 않은 전송 유형을 사용하여 MCP 도구/서버를 가져오거나 참조하며, 의도된 신뢰 제한을 우회합니다.
MaxKB < 2.10.0-lts
MaxKB ≥2.10.0-lts로 업그레이드
GitHub release notes
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →