Analyse en attenteCVE-2026-26015

CVE-2026-26015: RCE in DocsGPT

Q: Suis-je affecté par CVE-2026-26015 dans DocsGPT ?

Vous êtes affecté si vous utilisez DocsGPT dans les versions comprises entre 0.15.0 (inclus) et 0.16.0 (exclus). Vérifiez votre version actuelle et mettez à jour si nécessaire.

Q: Comment corriger CVE-2026-26015 dans DocsGPT ?

La correction consiste à mettre à jour DocsGPT vers la version 0.16.0 ou ultérieure. Si la mise à jour n'est pas possible immédiatement, des mesures de mitigation temporaires peuvent être envisagées.

Q: CVE-2026-26015 est-il activement exploité ?

À ce jour, aucune information n'indique que CVE-2026-26015 est activement exploité, mais la vulnérabilité est critique et mérite une attention particulière.

Q: Où puis-je trouver l'avis officiel de DocsGPT pour CVE-2026-26015 ?

Consultez le site web officiel de DocsGPT ou le dépôt GitHub du projet pour obtenir les dernières informations et l'avis officiel concernant CVE-2026-26015.

Plateforme

nodejs

Composant

docsgpt

Corrigé dans

0.16.0

Voir sur NVD

Sauvegarder

CVE-2026-26015 décrit une vulnérabilité d'exécution arbitraire de code à distance (RCE) dans DocsGPT, un chatbot basé sur GPT pour la documentation. Cette faille permet à un attaquant de contourner le test MCP et d'exécuter du code malveillant sur les systèmes affectés. Les versions concernées sont celles comprises entre 0.15.0 (inclus) et 0.16.0 (exclus). La vulnérabilité a été corrigée dans la version 0.16.0.

Impact et Scénarios d'Attaque

L'impact de cette vulnérabilité est critique, car elle permet à un attaquant d'obtenir un contrôle total sur le système vulnérable. En contournant le test MCP, l'attaquant peut injecter et exécuter du code malveillant, compromettant potentiellement la confidentialité, l'intégrité et la disponibilité des données. Un attaquant pourrait, par exemple, installer des logiciels malveillants, voler des informations sensibles, ou utiliser le système compromis comme point de départ pour des attaques contre d'autres systèmes du réseau. La surface d'attaque est large, incluant à la fois le site web officiel de DocsGPT et toute instance locale ou publique du logiciel.

Contexte d'Exploitation

La vulnérabilité CVE-2026-26015 a été publiée le 29 avril 2026. Aucune information sur son exploitation active n'est disponible à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nature critique de la vulnérabilité et de la possibilité de contourner les mécanismes de protection. Il n'y a pas d'indication de sa présence sur KEV ou d'un score EPSS attribué. Consultez les sources officielles pour les dernières informations.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu

CISA KEVNO

EPSS

0.28% (percentile 52%)

Logiciel Affecté

Composantdocsgpt

Fournisseurarc53

Version minimale0.15.0

Version maximale>= 0.15.0, < 0.16.0

Corrigé dans0.16.0

Classification de Faiblesse (CWE)

CWE-77

Chronologie

Publiée2026-04-29
Modifiée2026-05-06
EPSS mis à jour2026-05-07

Mitigation et Contournements

La mitigation principale consiste à mettre à jour DocsGPT vers la version 0.16.0 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement l'accès public à DocsGPT ou de restreindre l'accès aux utilisateurs autorisés uniquement. En l'absence de mise à jour immédiate, une analyse approfondie du code source pourrait permettre d'identifier et de corriger manuellement la faille, mais cela nécessite une expertise significative. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue du trafic réseau et des journaux d'événements peut aider à détecter une exploitation.

Comment corrigertraduction en cours…

Actualice DocsGPT a la versión 0.16.0 o posterior para mitigar la vulnerabilidad de ejecución remota de código. Esta actualización corrige el problema al abordar la validación de entrada en la configuración de MCP STDIO, evitando la ejecución de código malicioso.

Questions fréquentes

Que signifie CVE-2026-26015 — RCE dans DocsGPT ?

CVE-2026-26015 décrit une vulnérabilité d'exécution arbitraire de code à distance (RCE) dans DocsGPT, permettant à un attaquant d'exécuter du code malveillant sur le système. Cette faille affecte les versions 0.15.0 à 0.15.9.

Suis-je affecté par CVE-2026-26015 dans DocsGPT ?

Vous êtes affecté si vous utilisez DocsGPT dans les versions comprises entre 0.15.0 (inclus) et 0.16.0 (exclus). Vérifiez votre version actuelle et mettez à jour si nécessaire.

Comment corriger CVE-2026-26015 dans DocsGPT ?

La correction consiste à mettre à jour DocsGPT vers la version 0.16.0 ou ultérieure. Si la mise à jour n'est pas possible immédiatement, des mesures de mitigation temporaires peuvent être envisagées.

CVE-2026-26015 est-il activement exploité ?

À ce jour, aucune information n'indique que CVE-2026-26015 est activement exploité, mais la vulnérabilité est critique et mérite une attention particulière.

Où puis-je trouver l'avis officiel de DocsGPT pour CVE-2026-26015 ?

Consultez le site web officiel de DocsGPT ou le dépôt GitHub du projet pour obtenir les dernières informations et l'avis officiel concernant CVE-2026-26015.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitement Rechercher des CVE

en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...

Parcourir les fichiers