Plattform
php
Komponente
1panel-dev-maxkb
Behoben in
2.2.1
2.8.0
A cross-site scripting (XSS) vulnerability has been identified in 1Panel-dev MaxKB versions 2.2.0 through 2.8.0. This flaw resides within the StaticHeadersMiddleware function of the Public Chat Interface component, specifically the handling of the 'Name' argument. Successful exploitation could allow an attacker to inject malicious scripts into the application, potentially compromising user data and system integrity. The vulnerability is now public and a fix is available in version 2.8.0.
Eine Cross-Site Scripting (XSS)-Schwachstelle wurde in 1Panel-dev MaxKB bis zur Version 2.2.1 identifiziert. Diese Schwachstelle befindet sich in der Funktion StaticHeadersMiddleware der Datei apps/common/middleware/staticheadersmiddleware.py, insbesondere bei der Verarbeitung des Arguments Name innerhalb der öffentlichen Chat-Oberfläche. Ein Angreifer kann dieses Argument manipulieren, um bösartigen JavaScript-Code in die Anwendung einzuschleusen, der dann im Browser anfälliger Benutzer ausgeführt wird. Dies könnte es dem Angreifer ermöglichen, sensible Informationen zu stehlen, Aktionen im Namen des Benutzers auszuführen oder den Benutzer auf bösartige Websites umzuleiten. Die Fernzugreifbarkeit bedeutet, dass der Angriff von jedem Ort aus gestartet werden kann, der Zugriff auf die Anwendung hat.
Die Schwachstelle ist vom Typ Cross-Site Scripting (XSS) und betrifft die öffentliche Chat-Oberfläche von 1Panel-dev MaxKB. Der Angriff kann aus der Ferne gestartet werden, was bedeutet, dass ein Angreifer keinen internen Zugriff auf das Netzwerk benötigt, um ihn auszunutzen. Die Schwachstelle liegt in der Art und Weise, wie die Anwendung das Argument Name in der Funktion StaticHeadersMiddleware verarbeitet. Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte es einem Angreifer ermöglichen, beliebigen JavaScript-Code im Browser eines Benutzers auszuführen, was schwerwiegende Folgen haben könnte. Die Tatsache, dass der Exploit öffentlich ist, erhöht das Risiko, dass die Schwachstelle ausgenutzt wird, erheblich.
Organizations utilizing 1Panel-dev MaxKB in their deployments, particularly those with publicly accessible chat interfaces, are at risk. Shared hosting environments where multiple users share the same 1Panel-dev MaxKB instance are especially vulnerable, as a compromise of one user could potentially affect others. Legacy configurations or deployments that have not been regularly updated are also at increased risk.
• php: Examine application logs for requests containing suspicious characters or patterns in the 'Name' parameter. Use grep to search for patterns like <script> or javascript: within the logs.
grep -i '<script|javascript:' /var/log/apache2/access.log• generic web: Use curl to test the affected endpoint with various payloads. Check the response headers for signs of XSS.
curl -X POST -d "Name=<script>alert('XSS')</script>" http://your-1panel-maxkb-url/chatdisclosure
poc
patch
Exploit-Status
EPSS
0.03% (10% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Lösung zur Behebung dieser Schwachstelle ist ein Upgrade auf Version 2.8.0 von 1Panel-dev MaxKB. Diese Version enthält eine Korrektur für die Verarbeitung des Arguments Name in der Funktion StaticHeadersMiddleware und verhindert so die XSS-Code-Einschleusung. Darüber hinaus wird empfohlen, die Sicherheitsrichtlinien der Anwendung zu überprüfen und zu verstärken, einschließlich der Validierung und Bereinigung aller Benutzereingaben. Die Überwachung der Anwendungsprotokolle auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren. Der spezifische Patch für diese Schwachstelle ist durch den Hash 026a2d623e2aa5efa67c4834651e79d5d7 identifiziert.
Actualice el componente MaxKB a la versión 2.8.0 o superior para mitigar la vulnerabilidad de scripting entre sitios (XSS). La actualización corrige la manipulación del argumento 'Name' en el middleware StaticHeadersMiddleware, eliminando el riesgo de ejecución de código malicioso.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
XSS (Cross-Site Scripting) ist eine Art von Sicherheitslücke, die es Angreifern ermöglicht, bösartige Skripte in Webseiten einzuschleusen, die von anderen Benutzern aufgerufen werden.
Es bedeutet, dass Informationen darüber, wie die Schwachstelle ausgenutzt werden kann, öffentlich verfügbar sind, was das Risiko erhöht, dass sie von Angreifern verwendet wird.
Wenn Sie nicht sofort aktualisieren können, implementieren Sie zusätzliche Sicherheitsmaßnahmen, z. B. die Validierung von Eingaben und die Verwendung einer Content Security Policy (CSP).
Überprüfen Sie die Version von 1Panel-dev MaxKB, die Sie verwenden. Wenn sie unter 2.8.0 liegt, ist sie anfällig.
Sie finden weitere Informationen zu dieser Schwachstelle in Informationsquellen zu Sicherheitsschwachstellen, wie z. B. der CVE (Common Vulnerabilities and Exposures)-Datenbank.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.