CVE-2026-7015 CVSS 2.4 低危

CVE-2026-7015 MaxSite CMS留言板插件XSS漏洞

披露日期: 2026-04-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-7015

漏洞类型

跨站脚本攻击 (XSS)

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

MaxSite CMS

漏洞概述

MaxSite CMS 109.3及之前版本中的Guestbook插件存在跨站脚本（XSS）漏洞。该漏洞源于组件对f_text、f_slug、f_limit及f_email等参数处理不当，攻击者可利用此缺陷进行远程攻击。尽管厂商将其归类为“Self-XSS”，但该问题仍违反安全编码标准，可能导致数据完整性受损。建议用户升级至109.4版本以修复此漏洞。

技术细节

该漏洞的核心原因在于MaxSite CMS的Guestbook插件在输出用户输入数据时，未使用`htmlspecialchars()`等函数进行HTML实体转义。攻击者可以通过篡改f_text、f_slug等参数注入恶意JavaScript代码。当管理员或具有高权限的用户访问包含恶意代码的留言页面时，脚本将在其浏览器上下文中执行。虽然CVSS评分显示需要高权限和用户交互，但本质上这是存储型XSS的一种变体，利用了缺乏输出过滤的缺陷。

攻击链分析

STEP 1

1. 侦察与定位

攻击者确认目标站点使用MaxSite CMS且版本低于109.4，并启用Guestbook插件。

STEP 2

2. 构造Payload

攻击者构造包含恶意JavaScript代码的Payload，针对f_text等未过滤参数。

STEP 3

3. 提交恶意数据

攻击者通过留言板表单将包含Payload的请求发送至服务器并存储。

STEP 4

4. 触发漏洞

具有高权限的用户（如管理员）浏览留言板内容，未转义的恶意脚本在浏览器中执行。

STEP 5

5. 执行攻击

脚本窃取Session信息或执行其他恶意操作，利用管理员权限进行进一步渗透。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<form action="http://target-path/guestbook/add" method="POST"> <input type="hidden" name="f_text" value="<img src=x onerror=alert('CVE-2026-7015')>"> <input type="hidden" name="f_email" value="[email protected]"> <input type="submit" value="Inject Payload"> </form>

影响范围

MaxSite CMS <= 109.3

防御指南

临时缓解措施

若无法立即升级，建议临时禁用Guestbook插件功能。管理员应避免直接点击或渲染未经验证的留言内容，并定期审查系统日志以检测潜在的利用尝试。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表