MEDIUMCVE-2026-6108CVSS 6.3

1Panel-dev MaxKB Model Context Protocol Node base_mcp_node.py 実行時のOSコマンドインジェクション

プラットフォーム

python

コンポーネント

1panel-dev-maxkb

修正版

2.6.1

2.6.2

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年4月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2026-6108 is a Command Injection vulnerability identified in 1Panel-dev MaxKB versions 2.6.0 through 2.6.1. This flaw allows attackers to execute arbitrary operating system commands on the affected system, potentially leading to unauthorized access and control. The vulnerability resides within the 'execute' function of the 'basemcpnode.py' file. A fixed version, 2.6.2, has been released to address this issue.

影響と攻撃シナリオ

1Panel-dev MaxKBのバージョン2.6.1までの脆弱性（CVE-2026-6108）が特定されました。この脆弱性は、Model Context Protocol Nodeコンポーネントのファイル'apps/application/flow/stepnode/mcpnode/impl/basemcpnode.py'内の'execute'関数に存在します。攻撃者は、この関数の入力操作を操作することで、この欠陥を利用し、基盤となるサーバー上で任意のオペレーティングシステムコマンドを実行できます。この脆弱性のCVSSスコアは6.3で、中程度から高いリスクを示します。エクスプロイトの公開により、悪意のある攻撃者による脆弱性の識別と利用が容易になるため、リスクが大幅に高まります。この脆弱性への暴露は、システムの侵害、機密データの窃盗、またはサービスの停止につながる可能性があります。

悪用の状況

CVE-2026-6108は、オペレーティングシステムのコマンドインジェクションを介してリモートコード実行（RCE）を許可します。攻撃者は、'basemcpnode.py'の'execute'関数を悪用して、プロセスの特権で実行される悪意のあるコマンドを注入できます。エクスプロイトの公開により、この脆弱性の悪用が容易になり、攻撃のリスクが高まります。潜在的な悪用試行を特定するために、システムログを徹底的に確認することをお勧めします。エクスプロイトのリモート性により、攻撃者は1Panel-dev MaxKBが実行されている場所へのネットワークアクセスがある場所から脆弱性を悪用しようとする可能性があります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.34% (57% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネント1panel-dev-maxkb

ベンダー1Panel-dev

影響範囲修正版

2.6.0 – 2.6.02.6.1

2.6.1 – 2.6.12.6.2

弱点分類 (CWE)

CWE-78 CWE-77

タイムライン

予約済み2026-04-11
公開日2026-04-12
更新日2026-04-14
EPSS 更新日2026-04-19

緩和策と回避策

この脆弱性への軽減策として推奨されるのは、1Panel-dev MaxKBをバージョン2.6.2以降にすぐにアップグレードすることです。このバージョンには、コマンドインジェクション脆弱性を修正する修正が含まれています。アップグレード中に、アプリケーションへのアクセス制限、ファイアウォール構成の強化、およびシステムの活動を監視して侵害の兆候を検出するなど、追加のセキュリティ対策を実装することを検討してください。ベンダーの1Panel-devは、この脆弱性について通知を受け、専門的に対応し、問題を解決するためのアップデートを提供しています。潜在的な攻撃からシステムを保護するために、アップデートをできるだけ早く適用することが重要です。

修正方法翻訳中…

Actualice el componente MaxKB a la versión 2.6.2 o superior para mitigar la vulnerabilidad de inyección de comandos del sistema operativo. La actualización corrige la falla en el manejo de comandos del sistema, previniendo la ejecución no autorizada de código.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-6108 とは何ですか？（MaxKB の Command Injection）

これは、攻撃者が基盤となるオペレーティングシステム上で任意のコマンドを実行できる脆弱性です。

MaxKB の CVE-2026-6108 による影響を受けていますか？

これは、この脆弱性を追跡および参照するために使用される一意の識別子です。

MaxKB の CVE-2026-6108 を修正するにはどうすればよいですか？

バージョン2.6.2には、オペレーティングシステムのコマンドインジェクション脆弱性を修正する修正が含まれています。

CVE-2026-6108 は積極的に悪用されていますか？

アクセス制限やファイアウォールの強化など、追加のセキュリティ対策を実装してください。

CVE-2026-6108 に関する MaxKB の公式アドバイザリはどこで確認できますか？

技術的なサポートについては、ベンダーの1Panel-devに直接連絡してください。