Plateforme
php
Composant
1panel-dev-maxkb
Corrigé dans
2.6.1
2.8.0
Une vulnérabilité de type Cross-Site Scripting (XSS) a été découverte dans 1Panel-dev MaxKB, affectant les versions de 2.6.0 à 2.8.0. Cette faille se situe dans le traitement de l'argument 'Name' au sein du fichier 'chatheadersmiddleware.py' du composant 'ChatHeadersMiddleware'. L'exploitation réussie de cette vulnérabilité permet à un attaquant d'injecter du code malveillant exécuté dans le navigateur d'un utilisateur.
L'exploitation de cette vulnérabilité XSS permet à un attaquant d'injecter des scripts malveillants dans les pages web de 1Panel-dev MaxKB. Ces scripts peuvent être utilisés pour voler des informations sensibles, telles que des cookies de session, ou pour rediriger les utilisateurs vers des sites web malveillants. Un attaquant pourrait également modifier le contenu des pages web, affichant des informations trompeuses ou nuisibles aux utilisateurs. Bien que la CVSS soit classée comme 'LOW', l'impact potentiel sur la confidentialité et l'intégrité des données des utilisateurs ne doit pas être sous-estimé, surtout si 1Panel-dev MaxKB est utilisé dans un environnement sensible.
Cette vulnérabilité a été rendue publique le 2026-04-12. Il n'y a pas d'indications d'une exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'a été rendu disponible. Le fournisseur a réagi rapidement et a fourni un correctif dans un délai raisonnable, ce qui diminue la probabilité d'une exploitation à grande échelle.
Organizations using 1Panel-dev MaxKB in versions 2.6.0 through 2.8.0 are at risk. This includes users who rely on 1Panel-dev MaxKB for chat functionality and those who have not implemented robust input validation practices. Shared hosting environments utilizing 1Panel-dev MaxKB are particularly vulnerable due to the potential for cross-tenant exploitation.
• wordpress / composer / npm:
grep -r 'chat_headers_middleware.py' /var/www/1panel-dev-maxkb/• generic web:
curl -I http://your-1panel-maxkb-domain.com/apps/common/middleware/chat_headers_middleware.py | grep -i 'X-Powered-By'disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La solution recommandée pour atténuer cette vulnérabilité est de mettre à jour 1Panel-dev MaxKB vers la version 2.8.0, qui inclut un correctif pour cette faille XSS. Si la mise à jour vers la version 2.8.0 n'est pas immédiatement possible, il est conseillé d'examiner attentivement le code source du composant 'ChatHeadersMiddleware' pour identifier et corriger manuellement la vulnérabilité. Bien qu'il n'y ait pas de contournement direct, une configuration stricte des permissions et une validation rigoureuse des entrées utilisateur peuvent aider à réduire le risque d'exploitation. Après la mise à jour, vérifiez l'intégrité du composant en effectuant des tests de sécurité pour confirmer que la vulnérabilité a été corrigée.
Mettez à jour MaxKB à la version 2.8.0 ou supérieure pour atténuer la vulnérabilité de Cross-Site Scripting (XSS). La mise à jour corrige la manipulation de l'argument 'Name' dans le fichier chat_headers_middleware.py, empêchant l'exécution de code malveillant.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-6107 is a cross-site scripting (XSS) vulnerability affecting 1Panel-dev MaxKB versions 2.6.0 through 2.8.0, allowing attackers to inject malicious scripts.
You are affected if you are using 1Panel-dev MaxKB versions 2.6.0, 2.7.0, or 2.8.0 and have not upgraded to version 2.8.0.
Upgrade 1Panel-dev MaxKB to version 2.8.0. This version includes a patch that resolves the XSS vulnerability.
While there are no confirmed active exploits, the ease of exploitation suggests it could become a target. Monitor your systems for suspicious activity.
Refer to the 1Panel-dev MaxKB release notes and security advisories for details on the patch and vulnerability mitigation.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.