Platform
javascript
Component
1panel-dev/maxkb
Opgelost in
2.4.1
2.4.2
2.5.0
CVE-2025-15632 is een cross-site scripting (XSS) kwetsbaarheid die is ontdekt in 1Panel-dev MaxKB. Deze kwetsbaarheid kan leiden tot het uitvoeren van kwaadaardige scripts in de browser van een gebruiker, mogelijk resulterend in data-exfiltratie of accountovername. De kwetsbaarheid treft versies 2.4.0 tot en met 2.4.2 van MaxKB. Een upgrade naar versie 2.5.0 is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid stelt een aanvaller in staat om willekeurige JavaScript-code uit te voeren in de context van de getroffen gebruiker. Dit kan worden gebruikt om gevoelige informatie te stelen, zoals cookies en sessie-informatie, of om de gebruiker om te leiden naar kwaadaardige websites. Afhankelijk van de configuratie van 1Panel-dev MaxKB, kan een aanvaller mogelijk ook toegang krijgen tot andere systemen binnen het netwerk. De impact is verhoogd doordat de exploitatie remote kan plaatsvinden en de exploitatie reeds openbaar is gemaakt.
De exploitatie van CVE-2025-15632 is openbaar bekend en de patch is beschikbaar. Er is geen indicatie van actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar de openbare beschikbaarheid van de exploitatie maakt het een aantrekkelijk doelwit voor kwaadwillenden. De kwetsbaarheid is gepubliceerd op 2026-04-13. Er is geen vermelding op de CISA KEV catalogus op het moment van schrijven.
Organizations using 1Panel-dev MaxKB in production environments, particularly those with publicly accessible chat functionality, are at risk. Shared hosting environments where multiple users share the same 1Panel-dev MaxKB instance are also at increased risk, as an attacker could potentially compromise other users through this vulnerability.
• javascript / web: Examine the ui/src/chat.ts file for improper input sanitization or output encoding. Look for instances where user-supplied data is directly inserted into the DOM without proper escaping.
• generic web: Monitor access logs for suspicious requests containing JavaScript payloads targeting the chat functionality.
• generic web: Use a browser developer console to test for XSS vulnerabilities by injecting simple payloads into the chat input field.
disclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-15632 is het upgraden van 1Panel-dev MaxKB naar versie 2.5.0 of hoger. Deze versie bevat een patch die de kwetsbaarheid verhelpt. Indien een directe upgrade niet mogelijk is, overweeg dan om de toegang tot de kwetsbare functionaliteit te beperken via een Web Application Firewall (WAF) of proxy. Configureer de WAF om scripts van onbekende bronnen te blokkeren. Controleer de configuratie van 1Panel-dev MaxKB om te zorgen voor een veilige configuratie en beperk de rechten van gebruikers. Na de upgrade, verifieer de fix door te proberen een XSS-payload in de chatfunctie te injecteren; deze poging zou moeten mislukken.
Actualice el componente MaxKB a la versión 2.5.0 o superior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS). La actualización incluye una corrección para la función afectada en el archivo ui/src/chat.ts del componente MdPreview. Consulte la documentación de 1Panel-dev para obtener instrucciones de actualización específicas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-15632 is a cross-site scripting (XSS) vulnerability affecting 1Panel-dev MaxKB versions 2.4.0 through 2.5.0, allowing attackers to inject malicious scripts.
You are affected if you are using 1Panel-dev MaxKB versions 2.4.0 to 2.5.0. Upgrade to version 2.5.0 or later to resolve the issue.
Upgrade 1Panel-dev MaxKB to version 2.5.0 or later. Apply input validation and output encoding as a temporary workaround if upgrading is not immediately possible.
The vulnerability has been publicly disclosed, increasing the risk of exploitation. Monitor your systems for suspicious activity.
Contact 1Panel-dev directly for the official advisory. The patch identifier is 7230daa5ec3e6574b6ede83dd48a4fbc0e70b8d8.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.