一、 漏洞 CVE-2025-10433 基础信息
漏洞信息
                                        # 1Panel-dev MaxKB 反序列化漏洞

## 概述

在 1Panel-dev MaxKB 的版本 2.0.2 及之前的 2.1.0 中发现一个漏洞。

## 影响版本

- MaxKB <= 2.0.2
- MaxKB 2.1.0

## 细节

- 漏洞涉及文件 `/admin/api/workspace/default/tool/debug`;
- 通过操控 `code` 参数,攻击者可能触发反序列化问题;
- 该漏洞可通过远程方式被利用;
- 漏洞影响范围目前未明确描述(处理逻辑中的具体问题尚未公开详细细节)。

## 影响

- 潜在远程攻击者可利用该漏洞执行恶意操作;
- 反序列化漏洞可能造成任意代码执行或数据篡改;
- 漏洞已被公开披露,存在被利用的风险。

## 解决方案

建议尽快将 MaxKB 升级至 2.1.1 版本以修复此漏洞。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
1Panel-dev MaxKB debug deserialization
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was determined in 1Panel-dev MaxKB up to 2.0.2/2.1.0. This issue affects some unknown processing of the file /admin/api/workspace/default/tool/debug. Executing manipulation of the argument code can lead to deserialization. The attack can be executed remotely. The exploit has been publicly disclosed and may be utilized. Upgrading to version 2.1.1 is capable of addressing this issue. It is suggested to upgrade the affected component.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
可信数据的反序列化
来源:美国国家漏洞数据库 NVD
漏洞标题
MaxKB 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
MaxKB是1Panel-dev开源的一款基于大语言模型和 RAG 的开源知识库问答系统。 MaxKB 2.0.2版本及之前版本和2.1.0版本存在代码问题漏洞,该漏洞源于对文件/admin/api/workspace/default/tool/debug中参数code的错误操作,可能导致反序列化攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-10433 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-10433 的情报信息
四、漏洞 CVE-2025-10433 的评论

暂无评论

发表评论