Platform
php
Component
1panel-dev-maxkb
Opgelost in
2.2.1
2.8.0
CVE-2026-6106 is een Cross-Site Scripting (XSS) kwetsbaarheid die is ontdekt in MaxKB, specifiek in de Public Chat Interface. Deze kwetsbaarheid stelt een aanvaller in staat om schadelijke scripts uit te voeren via manipulatie van de 'Name' parameter. De kwetsbaarheid treft versies van MaxKB tussen 2.2.0 en 2.8.0 inclusief. Een update naar versie 2.8.0 lost dit probleem op.
Een Cross-Site Scripting (XSS) kwetsbaarheid is geïdentificeerd in 1Panel-dev MaxKB tot versie 2.2.1. Deze kwetsbaarheid bevindt zich in de functie StaticHeadersMiddleware van het bestand apps/common/middleware/staticheadersmiddleware.py, met name in de verwerking van het argument Name binnen de Publieke Chat Interface. Een aanvaller kan dit argument manipuleren om kwaadaardige JavaScript-code in de applicatie te injecteren, die vervolgens in de browser van kwetsbare gebruikers wordt uitgevoerd. Dit kan de aanvaller in staat stellen gevoelige informatie te stelen, acties namens de gebruiker uit te voeren of de gebruiker door te verwijzen naar kwaadaardige websites. De remote aard van de aanval betekent dat deze kan worden uitgebuit vanaf elke locatie met toegang tot de applicatie.
De kwetsbaarheid is van het type Cross-Site Scripting (XSS) en heeft betrekking op de Publieke Chat Interface van 1Panel-dev MaxKB. De aanval kan op afstand worden uitgevoerd, wat betekent dat een aanvaller geen interne netwerktoegang nodig heeft om deze uit te buiten. De kwetsbaarheid ligt in de manier waarop de applicatie het argument Name in de functie StaticHeadersMiddleware verwerkt. Een succesvolle uitbuiting van deze kwetsbaarheid kan een aanvaller in staat stellen willekeurige JavaScript-code in de browser van een gebruiker uit te voeren, wat ernstige gevolgen kan hebben. Het feit dat de exploit publiek is, vergroot aanzienlijk het risico dat de kwetsbaarheid wordt uitgebuit.
Organizations utilizing 1Panel-dev MaxKB in their deployments, particularly those with publicly accessible chat interfaces, are at risk. Shared hosting environments where multiple users share the same 1Panel-dev MaxKB instance are especially vulnerable, as a compromise of one user could potentially affect others. Legacy configurations or deployments that have not been regularly updated are also at increased risk.
• php: Examine application logs for requests containing suspicious characters or patterns in the 'Name' parameter. Use grep to search for patterns like <script> or javascript: within the logs.
grep -i '<script|javascript:' /var/log/apache2/access.log• generic web: Use curl to test the affected endpoint with various payloads. Check the response headers for signs of XSS.
curl -X POST -d "Name=<script>alert('XSS')</script>" http://your-1panel-maxkb-url/chatdisclosure
poc
patch
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing om deze kwetsbaarheid te verhelpen is om te upgraden naar versie 2.8.0 van 1Panel-dev MaxKB. Deze versie bevat een correctie voor de verwerking van het argument Name in de functie StaticHeadersMiddleware, waardoor XSS-code-injectie wordt voorkomen. Daarnaast wordt aanbevolen de beveiligingsbeleidsregels van de applicatie te beoordelen en te versterken, inclusief het valideren en opschonen van alle gebruikersinvoer. Het monitoren van de applicatielogboeken op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële aanvallen. De specifieke patch voor deze kwetsbaarheid is geïdentificeerd door de hash 026a2d623e2aa5efa67c4834651e79d5d7.
Actualice el componente MaxKB a la versión 2.8.0 o superior para mitigar la vulnerabilidad de scripting entre sitios (XSS). La actualización corrige la manipulación del argumento 'Name' en el middleware StaticHeadersMiddleware, eliminando el riesgo de ejecución de código malicioso.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is een type beveiligingskwetsbaarheid waarmee aanvallers kwaadaardige scripts in webpagina's kunnen injecteren die door andere gebruikers worden bekeken.
Het betekent dat informatie over hoe de kwetsbaarheid kan worden uitgebuit publiekelijk beschikbaar is, waardoor het risico toeneemt dat deze door aanvallers wordt gebruikt.
Als u niet onmiddellijk kunt upgraden, implementeer dan aanvullende beveiligingsmaatregelen, zoals invoervalidatie en het gebruik van een Content Security Policy (CSP).
Controleer de versie van 1Panel-dev MaxKB die u gebruikt. Als deze lager is dan 2.8.0, is deze kwetsbaar.
U kunt meer informatie over deze kwetsbaarheid vinden in bronnen voor informatie over beveiligingskwetsbaarheden, zoals de CVE (Common Vulnerabilities and Exposures)-database.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.