MaxKBにおけるCSV ファイル内の数式要素の中和に関する脆弱性
| Title |
MaxKBにおけるCSV ファイル内の数式要素の中和に関する脆弱性
|
| Summary |
MaxKBはエンタープライズ向けのオープンソースAIアシスタントです。バージョン2.7.1以下には、チャットエクスポート機能において、CSVファイル内の数式要素が不適切に無害化される脆弱性があります。管理者が/admin/api/workspace/{workspace_id}/application/{application_id}/chat/exportエンドポイントを介してアプリケーションのチャット履歴をExcelファイル(.xlsx形式)にエクスポートする際、数式文字で始まる文字列が適切に無害化されず直接書き込まれます。このファイルをMicrosoft Excelなどのスプレッドシートアプリケーションで開くと、動的データ交換(DDE)を介して管理者のワークステーション上で任意のコードが実行される可能性があります。この問題は、apps/dataset/serializers/document_serializers.pyで修正された同様のパターンの脆弱性の亜種ですが、アプリケーションのチャットエクスポート部分が見落とされていました。この脆弱性はバージョン2.8.0で修正されました。
|
| Possible impacts |
当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアの一部が停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 14, 2026, midnight |
| Registration Date |
April 21, 2026, 10:45 a.m. |
| Last Update |
April 21, 2026, 10:45 a.m. |
|
CVSS3.0 : 警告
|
| Score |
4.7
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L |
Affected System
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月21日]
掲載 |
April 21, 2026, 10:45 a.m. |
NVD Vulnerability Information
CVE-2026-39424
| Summary |
MaxKB is an open-source AI assistant for enterprise. In versions 2.7.1 and below, the chat export feature is vulnerable to Improper Neutralization of Formula Elements in a CSV File. When an administrator exports the application chat history to an Excel file (.xlsx) via the /admin/api/workspace/{workspace_id}/application/{application_id}/chat/export endpoint, strings starting with formula characters are written directly without proper sanitization. Opening this file in spreadsheet applications like Microsoft Excel can lead to Arbitrary Code Execution (RCE) on the administrator's workstation via Dynamic Data Exchange (DDE). The issue is a variant of CVE-2025-4546, which fixed the exact same pattern in apps/dataset/serializers/document_serializers.py but missed the application chat export sink. This issue has been fixed in version 2.8.0.
|
| Publication Date |
April 14, 2026, 10:16 a.m. |
| Registration Date |
April 15, 2026, 11:39 a.m. |
| Last Update |
April 21, 2026, 2:34 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:maxkb:maxkb:*:*:*:*:-:*:*:* |
|
|
|
2.8.0 |
Related information, measures and tools
Common Vulnerabilities List