1Panel-dev MaxKB ChatHeadersMiddleware chat_headers_middleware.py क्रॉस साइट स्क्रिप्टिंग

यह XSS भेद्यता हमलावरों को उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट चलाने की अनुमति देती है, जिससे वे संवेदनशील जानकारी चुरा सकते हैं, उपयोगकर्ता को फ़िशिंग वेबसाइटों पर रीडायरेक्ट कर सकते हैं, या वेबसाइट की उपस्थिति को बदल सकते हैं। हमलावर कुकीज़ को चुरा सकते हैं, सत्र को हाईजैक कर सकते हैं, और उपयोगकर्ता के खाते पर नियंत्रण प्राप्त कर सकते हैं। चूंकि यह भेद्यता दूर से शोषण योग्य है, इसलिए यह व्यापक जोखिम पैदा करती है, खासकर उन उपयोगकर्ताओं के लिए जो 1Panel-dev MaxKB का उपयोग करते हैं और जिनके सिस्टम असुरक्षित हैं।

Organizations using 1Panel-dev MaxKB in versions 2.6.0 through 2.8.0 are at risk. This includes users who rely on 1Panel-dev MaxKB for chat functionality and those who have not implemented robust input validation practices. Shared hosting environments utilizing 1Panel-dev MaxKB are particularly vulnerable due to the potential for cross-tenant exploitation.

• wordpress / composer / npm:

grep -r 'chat_headers_middleware.py' /var/www/1panel-dev-maxkb/

• generic web:

curl -I http://your-1panel-maxkb-domain.com/apps/common/middleware/chat_headers_middleware.py | grep -i 'X-Powered-By'

1. 2026-04-12Disclosure

   disclosure

1. आरक्षित2026-04-11
2. प्रकाशित2026-04-12
3. संशोधित2026-04-15
4. EPSS अद्यतन2026-04-19

इस भेद्यता को कम करने का सबसे प्रभावी तरीका 1Panel-dev MaxKB को संस्करण 2.8.0 में अपग्रेड करना है। यदि अपग्रेड करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके इनपुट को सैनिटाइज़ करने पर विचार करें। WAF को दुर्भावनापूर्ण स्क्रिप्ट को ब्लॉक करने के लिए कॉन्फ़िगर किया जा सकता है। इसके अतिरिक्त, ChatHeadersMiddleware घटक में इनपुट को मान्य और सैनिटाइज़ करने के लिए कोड की समीक्षा करें। पैच नाम 026a2d623e2aa5efa67c4834651e79d5d7cab1da है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एक सुरक्षा स्कैन करें।