Katalog CVE

CVE-2026-56779

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

MaxKB przed wersją 2.10.0 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) w endpointach tworzenia i aktualizacji narzędzi. Umożliwia ona uwierzytelnionym użytkownikom wysyłanie dowolnych żądań serwerowych poprzez podanie niesprawdzonych parametrów downloadCallbackUrl i download_url.

Ocena ryzyka

Atakujący z domyślną rolą USER w przestrzeni roboczej mogą wykorzystać tę podatność do uzyskania dostępu do wewnętrznych usług sieciowych, co może prowadzić do wycieku danych lub dalszej kompromitacji infrastruktury.

Rekomendacja

Należy niezwłocznie zaktualizować MaxKB do wersji 2.10.0 lub nowszej, która zawiera poprawkę eliminującą podatność SSRF. Dodatkowo warto ograniczyć dostęp do endpointów narzędzi tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

MaxKB before 2.10.0 contains a server-side request forgery vulnerability in tool creation and update endpoints that allows authenticated users to make arbitrary server requests by supplying unvalidated downloadCallbackUrl and download_url parameters. Attackers with default workspace USER role can exploit this to access internal network services by providing malicious URLs to the ToolSerializer endpoints.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS