기술 설명
DocsGPT 버전 0.15.0부터 0.15.x까지의 중요 취약점(CVSS 10.0)으로, 공식 DocsGPT 웹사이트나 모든 로컬/공개 배포에 접근하는 공격자가 'MCP 테스트' 동작을 우회하는 악의적 페이로드를 작성하여 임의의 원격 코드 실행을 달성할 수 있습니다. DocsGPT는 Model Context Protocol(MCP)과 통합되어 기능을 확장하는 설명서용 GPT 기반 채팅 애플리케이션입니다.
공격 경로
공격자가 애플리케이션의 MCP 테스트 검증 로직을 우회하는 악의적 MCP 관련 페이로드를 작성합니다. 이 우회를 통해 DocsGPT 서버의 컨텍스트에서 임의의 코드를 실행할 수 있습니다. 이 취약점은 인증 없이 원격으로 악용 가능하며, 공식 호스팅 인스턴스와 자체 호스팅 배포 모두에 영향을 미칩니다.
영향받는 시스템
DocsGPT 버전 0.15.0부터 0.16.0 이전까지. 내부 설명서 검색, 고객 대면 설명서 포털을 위해 DocsGPT를 사용하거나, DocsGPT를 더 큰 AI 에이전트 워크플로우에 통합하는 조직이 영향을 받습니다. MCP 통합은 DocsGPT가 자율 에이전트를 위한 지식 검색 도구로 작용하는 에이전틱 AI 배포와 관련성이 있습니다.
완화 방안
DocsGPT를 즉시 버전 0.16.0 이상으로 업그레이드하십시오. 패치는 GitHub 릴리스 노트에 따라 2026년 4월 29일에 릴리스되었습니다. 패치 배포 전에 의심스러운 MCP 관련 요청이 있는지 DocsGPT 접근 로그를 검토하십시오. 즉시 업그레이드가 불가능한 경우, DocsGPT 인스턴스에 대한 네트워크 접근을 신뢰할 수 있는 IP 범위로 제한하고 패칭이 완료될 때까지 MCP 통합을 비활성화하십시오.