Liqiang

**Name of the Vulnerable Software and Affected Versions** MaxKB versões anteriores a 2.8.0 **Description** Um usuário autenticado com permissões de edição de ferramentas pode burlar a proteção de rede do sandbox para acessar serviços internos que estão explicitamente bloqueados pela configuração de hosts banidos. O sandbox utiliza LD PRELOAD para interceptar a função `connect()` e bloquear conexões para IPs banidos. No entanto, o uso de `socket.sendto()` com a flag `MSG FASTOPEN` permite que conexões TCP sejam estabelecidas diretamente através do kernel sem chamar a função `connect()`, ignorando completamente a validação de IP. Embora o `sendto` esteja listado no wrapper `syscall()`, isso é ineficaz porque o glibc invoca a syscall do kernel diretamente em vez de roteá-la através da função `syscall()` interceptada. **Recommendations** Atualizar para a versão 2.8.0.

**Name of the Vulnerable Software and Affected Versions** MaxKB versões anteriores a 2.8.0 **Description** Existe uma fuga de sandbox no componente ToolExecutor. Um invasor autenticado com privilégios de workspace pode ignorar o módulo sandbox.so baseado em LD PRELOAD usando a biblioteca ctypes do Python para executar chamadas de sistema brutas. Isso permite a execução de código arbitrário via chamadas de sistema diretas do kernel, o que pode levar ao comprometimento do container e exfiltração total da rede. O módulo sandbox.so intercepta funções de sistema padrão como 'execve', 'system', 'connect' e 'open', bem como 'mprotect' para evitar alocações PROT EXEC (memória executável), mas não bloqueia 'pkey mprotect'. **Recommendations** Atualizar para a versão 2.8.0.

**Name of the Vulnerable Software and Affected Versions** MaxKB versões anteriores a 2.8.0 **Description** Um problema de Cross-Site Scripting (XSS) Armazenado existe onde o componente `MdRenderer.vue` do frontend analisa tags `<iframe render>` personalizadas de respostas de LLM ou configurações de Prólogo da Aplicação. Este processo ignora a sanitização padrão de Markdown e a filtragem de XSS. O conteúdo HTML não sanitizado é então passado para o componente `IframeRender.vue`, que o renderiza diretamente em um `<iframe>` através do atributo `srcdoc` configurado com `sandbox="allow-scripts allow-same-origin"`. Isso permite que scripts injetados escapem do iframe e executem JavaScript na janela pai usando `window.parent`. Como o Prólogo é renderizado para qualquer usuário que visite a interface de chat de uma aplicação, isso pode levar ao sequestro de sessão, ações não autorizadas e exposição de dados sensíveis. **Recommendations** Atualizar para a versão 2.8.0.