CVE-2026-23525CVE-2026-23525是影响1Panel开源Linux服务器管理Web控制面板的存储型跨站脚本(XSS)漏洞。该漏洞存在于1Panel App Store的应用详情查看功能中,攻击者可以通过发布包含恶意脚本的应用,使其他用户在查看应用详情时执行任意JavaScript代码。由于漏洞位于App Store的README内容渲染过程中,恶意脚本会被永久存储在系统中,所有查看该应用详情的用户都会受到攻击。攻击成功后,攻击者可以窃取用户会话cookie、劫持用户账户、执行未经授权的系统操作,严重威胁系统的机密性、完整性和可用性。漏洞根本原因在于MdEditor组件在previewOnly模式下对渲染内容缺乏适当的XSS过滤和净化处理。
该存储型XSS漏洞的触发点位于1Panel的App Store功能模块。当开发者或攻击者提交应用时,可以在应用的README文件中嵌入恶意JavaScript代码。由于MdEditor组件在previewOnly模式下启用了Markdown渲染功能,但在渲染过程中没有对HTML标签和JavaScript脚本进行适当的转义或过滤,导致嵌入的<script>标签或带事件处理器的内联HTML标签(如<img src=x onerror=...>)能够被浏览器正常解析执行。当普通用户通过App Store查看该应用的详情页面时,恶意代码会在用户的浏览器上下文中执行。由于MdEditor组件还被应用于系统升级相关功能,类似的XSS问题也可能存在于其他内容渲染场景中。攻击者可以利用此漏洞窃取存储在浏览器中的认证令牌、会话ID或其他敏感信息,进而冒充合法用户进行进一步的攻击。