CVE-2026-26015
KrytyczneStreszczenie
DocsGPT, czat oparty na GPT do dokumentacji, ma lukę w wersjach od 0.15.0 do przed 0.16.0, która pozwala atakującemu na zdalne wykonanie kodu (RCE) poprzez złośliwy ładunek omijający test 'MCP'. Problem został naprawiony w wersji 0.16.0.
Ocena ryzyka
Luka ta może prowadzić do poważnych konsekwencji, w tym nieautoryzowanego dostępu do systemów i danych organizacji. Atakujący może wykorzystać tę podatność do zdalnego wykonania dowolnego kodu.
Rekomendacja
Zaleca się aktualizację DocsGPT do wersji 0.16.0 lub nowszej, aby usunąć tę lukę. Należy również przeprowadzić audyt bezpieczeństwa istniejących wdrożeń.
Oryginalny opis (angielski, źródło NVD)
DocsGPT is a GPT-powered chat for documentation. From version 0.15.0 to before version 0.16.0, an attacker accessing both the official DocsGPT website or any local and public deployment, can craft a malicious payload bypassing the "MCP test" behavior to achieve arbitrary remote code execution (RCE). This issue has been patched in version 0.16.0.

