CVE-2026-42335 in MaxKB
摘要
由 VulDB • 2026-05-26
MaxKB 是一款面向企业的开源 AI 助手。在 2.8.1 版本之前,MaxKB v2.8.0 及更早版本在 OSS 文件服务 URL 获取(chat/api/oss/get_url)端点中存在服务器端请求伪造(SSRF)绕过漏洞。该漏洞是由于 urlparse 验证函数与 requests HTTP 客户端之间的 URL 解析不一致导致的,攻击者可利用此漏洞访问内部网络服务。该漏洞已在 2.8.1 版本中修复。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.