MaxKB vulnerable to privilege escalation through sandbox bypass

MaxKB is an open-source AI assistant for enterprise. In versions 2.3.1 and below, the tool module allows an attacker to escape the sandbox environment and escalate privileges under certain concurrent conditions. This issue is fixed in version 2.4.0.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

使用共享资源的并发执行不恰当同步问题(竞争条件)

MaxKB 竞争条件问题漏洞

MaxKB是1Panel-dev开源的一款基于大语言模型和 RAG 的开源知识库问答系统。 MaxKB 2.3.1及之前版本存在竞争条件问题漏洞，该漏洞源于工具模块允许攻击者在特定并发条件下逃逸沙箱环境，可能导致权限提升。

N/A

N/A