Plataforma
javascript
Componente
1panel-dev/maxkb
Corrigido em
2.4.1
2.4.2
2.5.0
CVE-2025-15632 describes a cross-site scripting (XSS) vulnerability discovered in 1Panel-dev MaxKB. This flaw allows attackers to inject malicious scripts into the application, potentially leading to session hijacking or defacement. The vulnerability affects versions 2.4.0 through 2.5.0 and has been publicly disclosed. A fix is available in version 2.5.0.
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no 1Panel-dev MaxKB até a versão 2.4.2. A vulnerabilidade afeta uma função desconhecida dentro do arquivo ui/src/chat.ts do componente MdPreview. Um atacante pode explorar esta vulnerabilidade para injetar scripts maliciosos no site, que serão executados nos navegadores dos usuários. Isso pode permitir que o atacante roube informações confidenciais, como cookies de sessão, ou redirecione os usuários para sites maliciosos. O risco é agravado porque a exploração é remota e a informação sobre a vulnerabilidade já foi divulgada publicamente, aumentando a probabilidade de ataques.
A vulnerabilidade está localizada no componente MdPreview dentro do arquivo chat.ts. Um atacante pode aproveitar a falta de validação ou sanitização da entrada do usuário para injetar código JavaScript malicioso. Dado que a exploração é remota, um atacante não precisa de acesso físico ao servidor para explorar a vulnerabilidade. A divulgação pública da vulnerabilidade significa que os atacantes já têm as informações necessárias para desenvolver e implantar exploits. Recomenda-se monitorar os logs do servidor em busca de atividade suspeita.
Organizations using 1Panel-dev MaxKB in production environments, particularly those with publicly accessible chat functionality, are at risk. Shared hosting environments where multiple users share the same 1Panel-dev MaxKB instance are also at increased risk, as an attacker could potentially compromise other users through this vulnerability.
• javascript / web: Examine the ui/src/chat.ts file for improper input sanitization or output encoding. Look for instances where user-supplied data is directly inserted into the DOM without proper escaping.
• generic web: Monitor access logs for suspicious requests containing JavaScript payloads targeting the chat functionality.
• generic web: Use a browser developer console to test for XSS vulnerabilities by injecting simple payloads into the chat input field.
disclosure
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
A solução recomendada para mitigar esta vulnerabilidade é atualizar para a versão 2.5.0 do 1Panel-dev MaxKB. Este patch inclui as correções necessárias para prevenir a injeção de scripts maliciosos. O identificador do patch é 7230daa5ec3e6574b6ede83dd48a4fbc0e70b8d8. Recomenda-se fortemente aplicar esta atualização o mais rápido possível para proteger seu sistema contra possíveis ataques XSS. Além disso, revise as configurações de segurança do seu 1Panel para garantir que as políticas de segurança de conteúdo (CSP) estejam corretamente implementadas e restringindo a execução de scripts não confiáveis.
Actualice el componente MaxKB a la versión 2.5.0 o superior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS). La actualización incluye una corrección para la función afectada en el archivo ui/src/chat.ts del componente MdPreview. Consulte la documentación de 1Panel-dev para obtener instrucciones de actualización específicas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança que permite que atacantes injetem scripts maliciosos em sites visualizados por outros usuários. Esses scripts podem roubar informações, redirecionar usuários ou realizar outras ações maliciosas.
Se você estiver usando uma versão do 1Panel-dev MaxKB anterior à 2.5.0, provavelmente estará afetado. Verifique sua versão instalada e atualize imediatamente.
Se você suspeitar que foi atacado, altere imediatamente as senhas de todas as contas afetadas, revise os logs do servidor em busca de atividade suspeita e considere realizar uma varredura de malware.
Além de atualizar o software, implemente políticas de segurança de conteúdo (CSP) para restringir a execução de scripts não confiáveis e use um firewall de aplicativos web (WAF) para proteger contra ataques XSS.
Você pode encontrar mais informações sobre a vulnerabilidade CVE-2025-15632 em bancos de dados de vulnerabilidades de segurança, como o National Vulnerability Database (NVD).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.