無料スキャン
分析待ちCVE-2026-26015

CVE-2026-26015: RCE in DocsGPT

プラットフォーム

nodejs

コンポーネント

docsgpt

修正版

0.16.0

NVDで見る
保存

CVE-2026-26015 describes a Remote Code Execution (RCE) vulnerability affecting DocsGPT, a GPT-powered chat for documentation. This flaw allows attackers to bypass security checks and execute arbitrary code on vulnerable systems. The vulnerability impacts versions 0.15.0 through 0.15.9, and a patch is available in version 0.16.0.

影響と攻撃シナリオ

CVE-2026-26015 は、ドキュメント用の GPT を搭載したチャットアプリケーションである DocsGPT に影響を与えます。バージョン 0.15.0 から 0.16.0 以前のバージョンでは、公式の DocsGPT ウェブサイトまたは公開されているローカルデプロイメントへのアクセス権を持つ攻撃者は、'MCP テスト' の動作を回避する悪意のあるペイロードを作成し、任意の Remote Code Execution (RCE) を実現する可能性があります。これは、攻撃者が DocsGPT を実行しているシステムを制御し、ドキュメントおよび関連システムの機密性、完全性、および可用性を損なう可能性があることを意味します。この問題の重大度は、Exploit の容易さとセキュリティへの潜在的な影響に由来します。

悪用の状況

この脆弱性は、'MCP' (おそらくコンテンツフィルターまたは入力検証) テストを回避する悪意のあるペイロードを作成することで悪用されます。攻撃者は、公開されている DocsGPT インスタンスまたはローカルインストールへのアクセス権が必要です。悪意のあるペイロードが実行されると、攻撃者は基盤となるシステムで任意のコマンドを実行できます。適切なユーザー入力検証の欠如により、このペイロードの作成と実行が可能になり、RCE 脆弱性が生じました。DocsGPT の 'GPT を搭載' という性質は、自然言語処理に関与しており、このタイプの攻撃に対する堅牢な防御を実装する際の困難さに寄与した可能性があります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO

EPSS

0.28% (52% パーセンタイル)

影響を受けるソフトウェア

コンポーネントdocsgpt
ベンダーarc53
最小バージョン0.15.0
最大バージョン>= 0.15.0, < 0.16.0
修正版0.16.0

弱点分類 (CWE)

CWE-77

タイムライン

  1. 公開日
  2. 更新日
  3. EPSS 更新日

緩和策と回避策

この問題に対する解決策は、DocsGPT をバージョン 0.6.0 以降にアップグレードすることです。このバージョンには、リモートコード実行の脆弱性を修正する修正が含まれています。まだアップグレードしていない場合は、Exploit のリスクを軽減するために、できるだけ早くアップグレードすることを強くお勧めします。さらに、アクセス制限とネットワークセキュリティポリシーを含む DocsGPT のセキュリティ構成を確認して、強化された保護を確保してください。システムログを定期的に監視して疑わしいアクティビティを検出および対応することも役立ちます。

修正方法翻訳中…

Actualice DocsGPT a la versión 0.16.0 o posterior para mitigar la vulnerabilidad de ejecución remota de código. Esta actualización corrige el problema al abordar la validación de entrada en la configuración de MCP STDIO, evitando la ejecución de código malicioso.

よくある質問

CVE-2026-26015 とは何ですか?(DocsGPT の Remote Code Execution (RCE))

'MCP テスト' は、DocsGPT 内の悪意のあるコードの実行を防ぐように設計されたセキュリティメカニズムです。ただし、影響を受けるバージョンでは、このメカニズムは脆弱であり、回避可能でした。

DocsGPT の CVE-2026-26015 による影響を受けていますか?

DocsGPT のバージョン 0.16.0 より前のバージョンを使用している場合は、影響を受けている可能性が高いです。現在のバージョンを確認し、すぐにアップグレードしてください。

DocsGPT の CVE-2026-26015 を修正するにはどうすればよいですか?

影響を受けたシステムをネットワークから隔離し、システムログを調べて疑わしいアクティビティがないか確認し、セキュリティチームに通知してください。

CVE-2026-26015 は積極的に悪用されていますか?

すぐにアップグレードできない場合は、DocsGPT インスタンスへのパブリックアクセスを制限し、システムログを注意深く監視することを検討してください。

CVE-2026-26015 に関する DocsGPT の公式アドバイザリはどこで確認できますか?

詳細および更新については、公式の DocsGPT ドキュメントと業界のセキュリティソースを参照してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...