平台
python
组件
1panel-dev-maxkb
修复版本
2.6.1
2.6.2
CVE-2026-6108 是一个存在于 1Panel-dev MaxKB 组件中的命令注入漏洞。该漏洞允许攻击者通过操纵输入参数来执行任意操作系统命令,可能导致未经授权的访问和控制。该漏洞影响 MaxKB 2.6.0 和 2.6.1 版本。已发布修复版本 2.6.2,建议尽快升级。
在 1Panel-dev MaxKB 的 2.6.1 及更早版本中发现了一个命令注入漏洞 (CVE-2026-6108)。此漏洞位于 Model Context Protocol Node 组件的文件 'apps/application/flow/stepnode/mcpnode/impl/basemcpnode.py' 中的 'execute' 函数。攻击者可以通过操纵此函数的输入来利用此漏洞,从而在底层服务器上执行任意操作系统命令。此漏洞的 CVSS 评分是 6.3,表明存在中等到高度的风险。漏洞利用代码的公开可用性大大增加了风险,因为它便于恶意行为者识别和利用漏洞。暴露于此漏洞可能导致系统被攻陷、数据被盗或服务中断。
CVE-2026-6108 允许通过操作系统命令注入实现远程代码执行 (RCE)。攻击者可以利用 'basemcpnode.py' 中的 'execute' 函数注入恶意命令,这些命令将使用进程的权限执行。漏洞利用代码的公开可用性会促进此漏洞的利用,从而增加攻击的风险。建议彻底审查系统日志,以识别潜在的利用尝试。漏洞的远程性质意味着攻击者可能会尝试从 1Panel-dev MaxKB 运行的任何网络位置利用此漏洞。
漏洞利用状态
EPSS
0.34% (57% 百分位)
CISA SSVC
减轻此漏洞的建议措施是立即将 1Panel-dev MaxKB 升级到 2.6.2 或更高版本。此版本包含修复程序,可解决命令注入漏洞。在执行升级时,请考虑实施额外的安全措施,例如限制应用程序访问、加强防火墙配置以及监控系统活动以查找潜在的入侵迹象。供应商 1Panel-dev 已收到此漏洞的通知,并已专业地响应,并提供更新以解决此问题。为保护您的系统免受潜在攻击,及时应用更新至关重要。
Actualice el componente MaxKB a la versión 2.6.2 o superior para mitigar la vulnerabilidad de inyección de comandos del sistema operativo. La actualización corrige la falla en el manejo de comandos del sistema, previniendo la ejecución no autorizada de código.
漏洞分析和关键警报直接发送到您的邮箱。
这是一种漏洞,允许攻击者在底层的操作系统上执行任意命令。
这是一个用于跟踪和引用此漏洞的唯一标识符。
2.6.2 版本包含修复操作系统命令注入漏洞的补丁。
实施额外的安全措施,例如限制访问和加强防火墙。
如有任何技术支持问题,请直接联系供应商 1Panel-dev。
CVSS 向量
上传你的 requirements.txt 文件,立即知道是否受影响。