無料スキャン
分析待ちCVE-2026-26015

CVE-2026-26015: RCE in DocsGPT

プラットフォーム

nodejs

コンポーネント

docsgpt

修正版

0.16.0

NVDで見る
保存

CVE-2026-26015は、GPTを活用したドキュメントチャットツールであるDocsGPTにおけるリモートコード実行(RCE)脆弱性です。この脆弱性は、バージョン0.15.0から0.16.0未満のDocsGPTに影響を与え、攻撃者が悪意のあるペイロードを注入することでシステム上で任意のコードを実行することを可能にします。バージョン0.16.0へのアップデートでこの問題は修正されています。

影響と攻撃シナリオ

このRCE脆弱性を悪用されると、攻撃者はDocsGPTを実行しているサーバー上で完全に制御を奪う可能性があります。攻撃者は機密情報の窃取、マルウェアのインストール、システム設定の改ざん、さらには他のシステムへの攻撃の踏み台として利用することが考えられます。特に、DocsGPTが機密情報を含むドキュメントを処理している場合、情報漏洩のリスクは非常に高くなります。この脆弱性の悪用は、システム全体の停止や、広範囲にわたるデータ損失を引き起こす可能性があります。

悪用の状況

この脆弱性は、公開されているDocsGPTのデプロイメントに対して悪用される可能性があります。現時点では、CVEの公開直後であり、活発な攻撃キャンペーンの報告はありません。しかし、RCE脆弱性であるため、早期に悪用される可能性は否定できません。NVDおよびCISAの情報を注視し、最新のセキュリティ情報を確認することをお勧めします。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO

EPSS

0.28% (52% パーセンタイル)

影響を受けるソフトウェア

コンポーネントdocsgpt
ベンダーarc53
最小バージョン0.15.0
最大バージョン>= 0.15.0, < 0.16.0
修正版0.16.0

弱点分類 (CWE)

CWE-77

タイムライン

  1. 公開日
  2. 更新日
  3. EPSS 更新日

緩和策と回避策

DocsGPTのバージョンを0.16.0以降にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートがすぐに利用できない場合、DocsGPTのデプロイメントを一時的に停止するか、ファイアウォールでDocsGPTへのアクセスを制限することを検討してください。また、WAF(Web Application Firewall)を導入し、悪意のあるペイロードの検出とブロックを試みることが有効です。DocsGPTの入力検証を強化し、不正な入力がシステムに影響を与えないようにすることも重要です。アップデート後、システムが正常に動作していることを確認してください。

修正方法翻訳中…

Actualice DocsGPT a la versión 0.16.0 o posterior para mitigar la vulnerabilidad de ejecución remota de código. Esta actualización corrige el problema al abordar la validación de entrada en la configuración de MCP STDIO, evitando la ejecución de código malicioso.

よくある質問

CVE-2026-26015 — RCE in DocsGPTとは何ですか?

CVE-2026-26015は、DocsGPTのバージョン0.15.0から0.16.0未満に存在するリモートコード実行(RCE)脆弱性です。攻撃者はこの脆弱性を悪用し、DocsGPT上で任意のコードを実行できます。

CVE-2026-26015 in DocsGPTに影響を受けますか?

DocsGPTのバージョンが0.15.0から0.16.0未満の場合、この脆弱性に影響を受けます。バージョン0.16.0以降を使用している場合は、影響を受けません。

CVE-2026-26015 in DocsGPTを修正するにはどうすればよいですか?

DocsGPTをバージョン0.16.0以降にアップデートすることで、この脆弱性を修正できます。アップデートが利用できない場合は、一時的な対策としてDocsGPTのデプロイメントを停止するか、アクセスを制限することを検討してください。

CVE-2026-26015は積極的に悪用されていますか?

CVEの公開直後であり、現時点では活発な攻撃キャンペーンの報告はありません。しかし、RCE脆弱性であるため、早期に悪用される可能性は否定できません。

CVE-2026-26015に関するDocsGPTの公式アドバイザリはどこで入手できますか?

DocsGPTの公式アドバイザリは、DocsGPTのプロジェクトリポジトリまたは公式サイトで確認できます。詳細な情報については、関連するセキュリティ情報を参照してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...