关键漏洞信息 漏洞名称 Maxkb sandbox bypass 影响版本 受影响版本: =v2.0.0 严重性 等级: 中等 (4.6/10) CVSS v3 基本指标 攻击向量: 网络 攻击复杂度: 高 所需权限: 低 用户交互: 必须 范围: 不变 机密性: 低 完整性: 低 可用性: 低 CVE ID CVE-2025-53927 弱点 CWE-94 报告者 happyhacking-k wukong320 漏洞描述 Maxkb 的沙箱设计规则如下: 通过移除特定目录中文件的执行权限来限制任意命令执行。 绕过方法: 只限制特定目录中文件的执行权限,可以通过 Python 的 方法将要执行的命令复制到可执行目录,从而绕过目录限制并实现反向 shell。 利用步骤 1. 攻击者本地监听: 2. 在 函数中输入 POC 并执行调试: 3. 获取反向 shell 并执行复制的命令。 影响 RCE (远程代码执行)