概要
GPTベースのドキュメントチャットツール「DocsGPT」のバージョン0.15.0から0.16.0未満において、MCPテスト機能のバイパスにより任意のリモートコード実行(RCE)が可能な脆弱性が存在します。
公式DocsGPTウェブサイトおよびローカル・パブリックデプロイ環境にアクセスできる攻撃者が、悪意のあるペイロードを送信することでサーバー上でコードを実行できます。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.8(Critical) |
| CWE | CWE-77(コマンドインジェクション) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザー関与 | 不要 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン | 修正バージョン |
|---|---|---|---|
| DocsGPT | arc53 | 0.15.0〜0.16.0未満 | 0.16.0 |
修正バージョンと回避策
- DocsGPT 0.16.0以降へアップデートしてください
- アップデートが困難な場合は、DocsGPTインスタンスへの外部アクセスを制限してください
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。