CVE-2026-56779
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
MaxKB przed wersją 2.10.0 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) w endpointach tworzenia i aktualizacji narzędzi. Umożliwia ona uwierzytelnionym użytkownikom wysyłanie dowolnych żądań serwerowych poprzez podanie niesprawdzonych parametrów downloadCallbackUrl i download_url.
Ocena ryzyka
Atakujący z domyślną rolą USER w przestrzeni roboczej mogą wykorzystać tę podatność do uzyskania dostępu do wewnętrznych usług sieciowych, co może prowadzić do wycieku danych lub dalszej kompromitacji infrastruktury.
Rekomendacja
Należy niezwłocznie zaktualizować MaxKB do wersji 2.10.0 lub nowszej, która zawiera poprawkę eliminującą podatność SSRF. Dodatkowo warto ograniczyć dostęp do endpointów narzędzi tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
MaxKB before 2.10.0 contains a server-side request forgery vulnerability in tool creation and update endpoints that allows authenticated users to make arbitrary server requests by supplying unvalidated downloadCallbackUrl and download_url parameters. Attackers with default workspace USER role can exploit this to access internal network services by providing malicious URLs to the ToolSerializer endpoints.

