Plataforma
python
Componente
1panel-dev-maxkb
Corrigido em
2.6.1
2.6.2
CVE-2026-6108 is a Command Injection vulnerability identified in 1Panel-dev MaxKB versions 2.6.0 through 2.6.1. This flaw allows attackers to execute arbitrary operating system commands on the affected system, potentially leading to unauthorized access and control. The vulnerability resides within the 'execute' function of the 'basemcpnode.py' file. A fixed version, 2.6.2, has been released to address this issue.
Uma vulnerabilidade de injeção de comandos do sistema operacional (OS) foi identificada em 1Panel-dev MaxKB até a versão 2.6.1 (CVE-2026-6108). Esta vulnerabilidade reside na função 'execute' do arquivo 'apps/application/flow/stepnode/mcpnode/impl/basemcpnode.py' dentro do componente Model Context Protocol Node. Um atacante remoto pode explorar esta falha manipulando a entrada para esta função, permitindo-lhe executar comandos arbitrários no servidor subjacente. A gravidade desta vulnerabilidade é classificada como 6.3 na escala CVSS, indicando um risco moderado a alto. O facto de a exploração ser pública aumenta significativamente o risco, uma vez que facilita a identificação e utilização da vulnerabilidade por agentes maliciosos. A exposição a esta vulnerabilidade pode resultar na tomada de controlo do sistema, roubo de dados confidenciais ou interrupção dos serviços.
A vulnerabilidade CVE-2026-6108 permite a execução remota de código (RCE) através da injeção de comandos do sistema operacional. O atacante pode explorar a função 'execute' no arquivo 'basemcpnode.py' para injetar comandos maliciosos que serão executados com os privilégios do processo. A disponibilidade pública de um exploit facilita a exploração desta vulnerabilidade, aumentando o risco de ataques. Recomenda-se uma revisão exaustiva dos registos do sistema para identificar possíveis tentativas de exploração. A natureza remota da exploração significa que os atacantes podem tentar explorar a vulnerabilidade de qualquer lugar com acesso à rede onde o 1Panel-dev MaxKB é executado.
Status do Exploit
EPSS
0.34% (percentil 57%)
CISA SSVC
Vetor CVSS
A solução recomendada para mitigar esta vulnerabilidade é atualizar imediatamente 1Panel-dev MaxKB para a versão 2.6.2 ou superior. Esta versão contém uma correção que aborda a vulnerabilidade de injeção de comandos do sistema operacional. Enquanto a atualização é realizada, recomenda-se implementar medidas de segurança adicionais, como restringir o acesso à aplicação, fortalecer a configuração do firewall e monitorizar a atividade do sistema em busca de sinais de comprometimento. O fornecedor, 1Panel-dev, foi notificado da vulnerabilidade e respondeu de forma profissional, fornecendo uma atualização para solucionar o problema. É crucial aplicar a atualização o mais breve possível para proteger o seu sistema contra possíveis ataques.
Actualice el componente MaxKB a la versión 2.6.2 o superior para mitigar la vulnerabilidad de inyección de comandos del sistema operativo. La actualización corrige la falla en el manejo de comandos del sistema, previniendo la ejecución no autorizada de código.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade que permite a um atacante executar comandos arbitrários no sistema operativo subjacente.
É um identificador único para esta vulnerabilidade, utilizado para a rastrear e referenciá-la.
A versão 2.6.2 contém uma correção para a vulnerabilidade de injeção de comandos do sistema operacional.
Implemente medidas de segurança adicionais, como restringir o acesso e fortalecer o firewall.
Contacte diretamente o fornecedor, 1Panel-dev, para obter suporte técnico.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.