製品・ソフトウェアに関する情報

JVN脆弱性詳細

MaxKBにおけるサーバサイドのリクエストフォージェリの脆弱性

Title	MaxKBにおけるサーバサイドのリクエストフォージェリの脆弱性
Summary	MaxKBはエンタープライズ向けのオープンソースAIアシスタントです。バージョン2.7.1以下では、MSG_FASTOPENフラグを付けたsocket.sendto()を使用することでサンドボックスのネットワーク保護を回避できます。これにより、ツール編集権限を持つ認証済みユーザーが、サンドボックスの禁止ホスト設定で明示的にブロックされている内部サービスにアクセス可能となってしまいます。MaxKBのサンドボックスはLD_PRELOADを使ってconnect()関数をフックし、禁止IPへの接続をブロックしていますが、LinuxのMSG_FASTOPENフラグ付きsendto()はconnect()を呼び出さずにカーネル経由で直接TCP接続を確立できるため、IP検証を完全にバイパスしてしまいます。sendtoはsyscall()ラッパーに記載されていますが、glibcはフックされたsyscall()関数を経由せずにカーネルのシステムコールを直接呼び出すため、この対策は効果がありません。この問題はバージョン2.8.0で修正されました。
Possible impacts	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアの一部が停止する可能性があります。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 14, 2026, midnight
Registration Date	April 21, 2026, 10:45 a.m.
Last Update	April 21, 2026, 10:45 a.m.

CVSS3.0 : 重要
Score	7.4
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L

Affected System

MaxKB

MaxKB 2.8.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-39418	https://www.cve.org/CVERecord?id=CVE-2026-39418
National Vulnerability Database (NVD)
2	CVE-2026-39418	https://nvd.nist.gov/vuln/detail/CVE-2026-39418

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-918	https://cwe.mitre.org/data/definitions/918.html

ベンダー情報

No	Name	URL
GitHub
1	SSRF via sandbox network hook bypass Advisory 1Panel-dev/MaxKB GitHub	https://github.com/1Panel-dev/MaxKB/security/advisories/GHSA-w9g4-q3gm-6q6w

その他

No	Name	URL
関連文書
1	Release v2.8.0 1Panel-dev/MaxKB GitHub	https://github.com/1Panel-dev/MaxKB/releases/tag/v2.8.0
2	security: fix SSRF in sandbox via env -i sendto and sendmsg. 1Panel-dev/MaxKB@4d06362 GitHub	https://github.com/1Panel-dev/MaxKB/commit/4d06362750b15390437f1d2e4d14ec79baef8559

Change Log

No	Changed Details	Date of change
1	[2026年04月21日] 掲載	April 21, 2026, 10:45 a.m.

NVD Vulnerability Information

CVE-2026-39418

Summary	MaxKB is an open-source AI assistant for enterprise. In versions 2.7.1 and below, sandbox network protection can be bypassed by using socket.sendto() with the MSG_FASTOPEN flag. This allows authenticated user with tool-editing permissions to reach internal services that are explicitly blocked by the sandbox's banned hosts configuration. MaxKB's sandbox uses LD_PRELOAD to hook the connect() function and block connections to banned IPs, but Linux's sendto() with the MSG_FASTOPEN flag can establish TCP connections directly through the kernel without ever calling connect(), completely bypassing the IP validation. Although sendto is listed in the syscall() wrapper, this is ineffective because glibc invokes the kernel syscall directly rather than routing through the hooked syscall() function. This issue has been fixed in version 2.8.0.
Publication Date	April 14, 2026, 10:16 a.m.
Registration Date	April 15, 2026, 11:39 a.m.
Last Update	April 21, 2026, 2:36 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:maxkb:maxkb:::::-:::*					2.8.0

Related information, measures and tools

No	URL	refsource
1	https://github.com/1Panel-dev/MaxKB/commit/4d06362750b15390437f1d2e4d14ec79baef8559	security-advisories@github.com
2	https://github.com/1Panel-dev/MaxKB/releases/tag/v2.8.0	security-advisories@github.com
3	https://github.com/1Panel-dev/MaxKB/security/advisories/GHSA-w9g4-q3gm-6q6w	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-918	サーバサイドリクエストフォージェリ	https://cwe.mitre.org/data/definitions/918.html