Plataforma
php
Componente
1panel-dev-maxkb
Corrigido em
2.6.1
2.8.0
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta em 1Panel-dev MaxKB, afetando versões de 2.6.0 até 2.8.0. A falha reside no componente ChatHeadersMiddleware, especificamente no processamento do arquivo apps/common/middleware/chatheadersmiddleware.py. A manipulação do argumento 'Name' permite a injeção de scripts maliciosos, potencialmente comprometendo a segurança dos usuários.
Um atacante pode explorar esta vulnerabilidade para injetar scripts maliciosos no navegador de usuários que acessam o 1Panel-dev MaxKB. Isso pode resultar no roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo na execução de ações em nome do usuário afetado. A exploração bem-sucedida pode levar à comprometimento da confidencialidade e integridade dos dados, além de permitir a escalada de privilégios dentro do painel de controle. Embora a severidade seja classificada como baixa, a facilidade de exploração e o potencial impacto na experiência do usuário tornam a correção urgente.
A vulnerabilidade foi divulgada em 2026-04-12. Não há informações disponíveis sobre exploração ativa ou presença na KEV. Um Proof of Concept (PoC) público não foi identificado até o momento, mas a natureza da vulnerabilidade XSS sugere que um PoC pode ser desenvolvido rapidamente. A rápida resposta do fornecedor e o lançamento de uma correção indicam um baixo risco de exploração em larga escala.
Organizations using 1Panel-dev MaxKB in versions 2.6.0 through 2.8.0 are at risk. This includes users who rely on 1Panel-dev MaxKB for chat functionality and those who have not implemented robust input validation practices. Shared hosting environments utilizing 1Panel-dev MaxKB are particularly vulnerable due to the potential for cross-tenant exploitation.
• wordpress / composer / npm:
grep -r 'chat_headers_middleware.py' /var/www/1panel-dev-maxkb/• generic web:
curl -I http://your-1panel-maxkb-domain.com/apps/common/middleware/chat_headers_middleware.py | grep -i 'X-Powered-By'disclosure
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização para a versão 2.8.0 do 1Panel-dev MaxKB, que inclui a correção para a falha XSS. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação rigorosa de todas as entradas de usuário no lado do servidor e a configuração de políticas de segurança de conteúdo (CSP) para restringir a execução de scripts de fontes não confiáveis. A aplicação de um Web Application Firewall (WAF) com regras específicas para detectar e bloquear payloads XSS também pode ajudar a reduzir o risco.
Atualize MaxKB para a versão 2.8.0 ou superior para mitigar a vulnerabilidade de Cross-Site Scripting (XSS). A atualização corrige a manipulação do argumento 'Name' no arquivo chat_headers_middleware.py, prevenindo a execução de código malicioso.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-6107 is a cross-site scripting (XSS) vulnerability affecting 1Panel-dev MaxKB versions 2.6.0 through 2.8.0, allowing attackers to inject malicious scripts.
You are affected if you are using 1Panel-dev MaxKB versions 2.6.0, 2.7.0, or 2.8.0 and have not upgraded to version 2.8.0.
Upgrade 1Panel-dev MaxKB to version 2.8.0. This version includes a patch that resolves the XSS vulnerability.
While there are no confirmed active exploits, the ease of exploitation suggests it could become a target. Monitor your systems for suspicious activity.
Refer to the 1Panel-dev MaxKB release notes and security advisories for details on the patch and vulnerability mitigation.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.