CVE-2026-39419

Name of the Vulnerable Software and Affected Versions MaxKB versões anteriores a 2.8.0

Description Um usuário autenticado pode ignorar a validação de resultados do sandbox e falsificar resultados de execução de ferramentas. Isso é feito explorando a introspecção de frames do Python para ler o UUID do wrapper de suas constantes de bytecode e gravando um resultado forjado diretamente no descritor de arquivo 1, ignorando o redirecionamento do stdout. Ao chamar a função sys.exit(0), o invasor encerra o wrapper antes que a saída legítima seja impressa, fazendo com que o serviço confie na resposta falsificada como o resultado genuíno da ferramenta.

Recommendations Atualizar para a versão 2.8.0.