CVE-2026-46695— Boxlite 访问控制错误漏洞
Possible ATT&CK Techniques 1AI
T1611.002Affected Version Matrix 1
| ベンダー | プロダクト | Version Range | ステータス |
|---|---|---|---|
| boxlite-ai | boxlite | < 0.9.0 | affected |
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-46695の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
BoxLite: Permission Bypass in boxlite Allows Modification of Read-Only Files
ソース: NVD (National Vulnerability Database)
脆弱性説明
Boxlite is a sandbox service that allows users to create lightweight virtual machines (Boxes) and launch OCI containers within them to run untrusted code. Prior to version 0.9.0, Boxlite does not restrict the kernel capabilities available inside the container, malicious code can remount the directory in rw mode, thereby gaining write access to that directory. This allows malicious code to perform arbitrary write operations on directories that should be read-only. This issue has been patched in version 0.9.0.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
访问控制不恰当
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Boxlite 访问控制错误漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
BoxLite是BoxLite开源的一个嵌入式微虚拟机运行时,为AI代理和代码执行场景提供硬件隔离的安全沙箱能力。 Boxlite 0.9.0之前版本存在访问控制错误漏洞,该漏洞源于未限制容器内核能力,恶意代码可重新挂载目录为读写模式,导致对只读目录进行任意写入操作。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| boxlite-ai | boxlite | < 0.9.0 | - |
II. CVE-2026-46695の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POC検証済み環境 プレミアム
Qwen3.6-35B-A3B · 5741 文字数
Pro+限定の内容:
脆弱性再現の録画(実際のサンドボックス構築 + トリガー、限定)
脆弱性の原理を深く分析
トリガー条件と影響範囲
完全な実行可能POCコード
攻撃チェーンと緩和策の提案
POCパッケージのダウンロード
月間100件以上のAI生成枠
III. CVE-2026-46695のインテリジェンス情報
请登录查看更多情报信息。
CVE-2026-46695 补丁与修复 (1)
CVE-2026-46695 厂商安全公告 (1)
CVE-2026-46695 厂商页面 (1)
Same Patch Batch · boxlite-ai · 2026-06-10 · 3 CVEs total
| CVE-2026-46703 | 9.6 CRITICAL | BoxLite: Path Traversal Vulnerability in boxlite Leads to Arbitrary File Write on the Host |
| CVE-2026-47213 | 6.5 MEDIUM | BoxLite: Timeout Bypass Vulnerability |
IV. 関連脆弱性
同じ弱点: CWE-284
- CVE-2026-48908
Joomla Extension - joomshaper.com - Remote Code Execution in - CVE-2026-48939
Joomla Extension - icagenda.com - Remote Code Execution in i - CVE-2026-56082
Capgo - Unauthenticated Cross-Tenant Billing Log Tampering v - CVE-2026-4027
FlexNet Manager Suite Attachment File Disclosure - CVE-2026-4026
FlexNet Manager Suite Privilege Escalation Vulnerability
V. CVE-2026-46695へのコメント
まだコメントはありません