मैक्सकेबी: ctypes और अनहुक SYS_pkey_mprotect के माध्यम से सैंडबॉक्स एस्केप

यह भेद्यता हमलावरों को सैंडबॉक्स को बायपास करने और सीधे कर्नेल सिस्टम कॉल निष्पादित करने की अनुमति देती है। इसका मतलब है कि वे नेटवर्क से डेटा निकाल सकते हैं और कंटेनर को पूरी तरह से समझौता कर सकते हैं। हमलावर ctypes लाइब्रेरी का उपयोग करके execve, system, connect, और open जैसे महत्वपूर्ण सिस्टम फ़ंक्शन को इंटरसेप्ट कर सकते हैं। mprotect को इंटरसेप्ट करने की क्षमता उन्हें PROT_EXEC को रोकने की अनुमति देती है, जिससे कोड निष्पादन को नियंत्रित किया जा सकता है। इस भेद्यता का उपयोग करके, एक हमलावर सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकता है, संवेदनशील डेटा तक पहुंच सकता है, और अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकता है।

Organizations deploying MaxKB as an AI assistant within their enterprise environments are at risk. Specifically, deployments that grant workspace privileges to users who are not thoroughly vetted or who have access to sensitive data are particularly vulnerable. Shared hosting environments utilizing MaxKB also pose a higher risk due to the potential for cross-tenant exploitation.

• python: Monitor Python processes for unusual activity, especially those using ctypes and interacting with system calls. Use ps or top to identify suspicious processes.

ps aux | grep ctypes

• linux / server: Examine system logs (e.g., /var/log/syslog, /var/log/audit/audit.log) for calls to execve, system, connect, and open originating from Python processes within the MaxKB workspace.

journalctl -u maxkb -g 'system call'

• generic web: Monitor network traffic for unusual outbound connections from the MaxKB container to external hosts, particularly on non-standard ports.

curl -v <container_ip>:<port>

1. 2026-04-14Disclosure

   disclosure

1. आरक्षित2026-04-07
2. प्रकाशित2026-04-14
3. EPSS अद्यतन2026-04-21

CVE-2026-39421 को कम करने के लिए, MaxKB को संस्करण 2.8.0 में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, LD_PRELOAD के उपयोग को सीमित करने के लिए सिस्टम-स्तरीय सुरक्षा उपायों को लागू किया जा सकता है। इसके अतिरिक्त, वर्कस्पेस विशेषाधिकारों को कम करना और नेटवर्क एक्सेस को सीमित करना जोखिम को कम करने में मदद कर सकता है। WAF (वेब एप्लिकेशन फ़ायरवॉल) नियमों को कॉन्फ़िगर करके संदिग्ध गतिविधि का पता लगाया जा सकता है। अपग्रेड के बाद, यह सत्यापित करें कि सैंडबॉक्स ठीक से काम कर रहा है और कोई अनधिकृत सिस्टम कॉल नहीं हो रही हैं।