CRITICAL✓ PATCH🇬🇧 English

CVE-2026-26015

RCE w DocsGPT przez ominięcie mechanizmu MCP test (CWE-77)

CVSS 10.0v4.0pub. 2026-04-29upd. 2026-05-06

Podatność klasy command injection w aplikacji DocsGPT (wersje 0.15.0 – poniżej 0.16.0) umożliwia nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na serwerze. Zagrożone są zarówno oficjalne wdrożenie producenta, jak i wszystkie publiczne oraz lokalne instalacje.

Pokaż oryginał (EN)

DocsGPT is a GPT-powered chat for documentation. From version 0.15.0 to before version 0.16.0, an attacker accessing both the official DocsGPT website or any local and public deployment, can craft a malicious payload bypassing the "MCP test" behavior to achieve arbitrary remote code execution (RCE). This issue has been patched in version 0.16.0.

🤖 Analiza AI
Jak działa

Atakujący spreparowuje złośliwy payload, który omija mechanizm kontrolny określany jako 'MCP test'. Podatność jest sklasyfikowana jako CWE-77 (Improper Neutralization of Special Elements used in a Command), co oznacza, że aplikacja nie filtruje odpowiednio danych wejściowych przekazywanych do wywołań systemowych lub poleceń. Skutkuje to możliwością wstrzyknięcia i wykonania arbitralnych poleceń w kontekście procesu aplikacji. Atak może być przeprowadzony zdalnie, bez uwierzytelnienia i bez interakcji użytkownika.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem — wykonać dowolny kod, odczytać lub zmodyfikować dane, a potencjalnie także przemieścić się lateralnie w sieci docelowej. Maksymalna ocena CVSS 10.0 odzwierciedla pełny wpływ na poufność, integralność i dostępność zarówno atakowanego systemu, jak i powiązanych zasobów.

Mitygacja

Należy niezwłocznie zaktualizować DocsGPT do wersji 0.16.0 lub nowszej. Patch dostępny jest w repozytorium GitHub producenta: https://github.com/arc53/DocsGPT/releases/tag/0.16.0. Do czasu wdrożenia aktualizacji zaleca się ograniczenie dostępu sieciowego do instancji DocsGPT (np. firewall, VPN) oraz monitorowanie logów pod kątem nieoczekiwanych wywołań poleceń systemowych.

Kogo dotyczy

DocsGPT w wersjach od 0.15.0 do poniżej 0.16.0 (wszystkie wdrożenia: oficjalna strona producenta, publiczne i lokalne instalacje).

Uwagi

Podatność została zgłoszona i naprawiona przez producenta (Arc53). Szczegóły techniczne opublikowano w ramach GitHub Security Advisory GHSA-gcrq-f296-2j74. Brak dowodów na aktywne wykorzystanie w środowisku produkcyjnym (CISA KEV: NIE).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Arc53 Docsgpt

    APP
    Arc53
    0.15.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCE
CWE
Referencje
CVE-2026-26015 — RCE w DocsGPT przez ominięcie mechanizmu MCP test (CWE-77) — CRITICAL 10.0 | CVEbaza.pl