修复多个安全漏洞,MaxKB开源企业级智能体平台v2.10.4 LTS版本发布

发布于 2026年07月17日

2026年7月16日,MaxKB开源企业级智能体平台正式发布v2.10.4 LTS版本。本次版本更新以安全漏洞修复和问题修复为主,持续提升系统安全性,欢迎广大社区用户升级至新版本。

感谢广大社区用户长期以来的反馈和支持,MaxKB期待与您携手创造更加美好的未来。

安全漏洞修复

漏洞:修复系统文件权限漏洞导致资源可被匿名访问的问题;

漏洞:修复管理端聊天记录IDOR漏洞,解决应用路径鉴权绕过、跨应用读取聊天记录的问题;

漏洞:补齐智能体与工作流工具调度的独立授权校验机制;

漏洞:修复UpdateStoreTool获取外部应用商店URL时缺少主机校验的问题;

漏洞:修复用户跨知识库越权获取、修改未授权文档与段落数据的问题;

漏洞:修复过期的智能体API密钥仍然可在/chat/api/mcp接口使用的问题;

漏洞:修复MCP工具授权缺陷导致的水平越权漏洞;

漏洞:修复首页排名泄露应用ID,可能导致恶意调用他人应用节点的问题;

漏洞:修复跨工作空间可能越权查看、修改模型参数表单的问题;

漏洞:修复提示词注入漏洞,规避智能体命令执行风险;

漏洞:完善网页文档导入/同步爬虫的内部IP校验机制,修复SSRF安全风险。

问题修复

智能体:修复高级智能体图片理解节点新增视觉模型后,未实时展示在模型列表的问题(#6402);

智能体:修复删除简易智能体设置的大语言模型后,对话时提示信息不正确的问题;

智能体:修复智能体调用共享模型失败,提示“模型不存在”的问题;

知识库:修复Word文档表格与后续内容无空行时,分段文本被误识别为表格内容的问题(#6396);

知识库:修复拖拽分段时会跨文档污染所有段落位置数据的问题(#6373);

首页:修复排名详情页面可以通过名称搜索到当前用户无权限智能体的问题;

触发器:修复定时触发器列表的任务详情中重复展示任务的问题;

触发器:修复触发器场景下,高级智能体用户输入参数默认值未传递、参数为空的问题(#6320);

触发器:修复智能体用户输入包含开关类型参数时,触发器传参报错的问题;

用户管理:修复获取所有用户接口仅返回前200个用户,无法获取全量用户的问题(#6375)。