CVE-2026-7013MaxSite CMS 109.3 及之前版本中的 mail_send 插件存在安全漏洞。由于未对 f_subject、f_files 和 f_from 参数进行充分的过滤,攻击者可操纵这些参数触发跨站脚本攻击。尽管厂商将其归类为 Self-XSS,但这仍属于安全编码标准的违规。目前已公开披露利用代码,建议用户尽快升级至 109.4 版本以修复此问题。
该漏洞存在于 MaxSite CMS 的 mail_send 插件组件中。问题的根源在于应用程序在处理邮件发送功能时,未能对用户提交的 f_subject(主题)、f_files(附件)和 f_from(发件人)参数进行严格的输出编码。具体来说,代码缺少对 `htmlspecialchars()` 函数的调用,导致攻击者可以将恶意的 JavaScript 或 HTML 代码注入到这些参数中。当具有高权限的用户(如管理员)查看受影响的数据时,注入的脚本将在浏览器上下文中执行。尽管 CVSS 评分较低(需要高权限和用户交互),但在特定场景下,这可被用来窃取敏感信息或执行未授权操作。补丁 8a3946bd0a54bfb72a4d57179fcd253f2c550cd7 已通过添加过滤机制修复了此问题。