CVE-2026-7016 CVSS 2.4 低危

CVE-2026-7016 MaxSite CMS ushki插件跨站脚本漏洞

披露日期: 2026-04-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-7016

漏洞类型

跨站脚本 (XSS)

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

MaxSite CMS

漏洞概述

MaxSite CMS版本109.3及之前版本的ushki插件组件中存在安全漏洞。由于对参数f_ushka_new和f_ushk缺乏适当的过滤，攻击者可利用此缺陷进行跨站脚本攻击。虽然供应商将其归类为Self-XSS，但仍可能对数据完整性造成影响。建议升级到版本109.4以消除风险。

技术细节

该漏洞发生在MaxSite CMS的ushki插件中，核心原因是未对`f_ushka_new`和`f_ushk`参数应用`htmlspecialchars()`等过滤函数。攻击者可以通过操纵这些参数注入恶意JavaScript代码。由于CVSS评分要求高权限（PR:H）和用户交互（UI:R），这通常意味着攻击需要诱骗权限较高的用户（如管理员）访问包含恶意代码的页面或执行特定操作。尽管厂商称之为Self-XSS，但该漏洞违背了安全编码规范。一旦管理员触发，恶意脚本将在其浏览器上下文中执行，可能导致会话劫持或进一步的后台操作。官方已在commit 8a3946b中通过添加过滤机制修复了此问题。

攻击链分析

STEP 1

侦察

攻击者确认目标站点使用的是MaxSite CMS 109.3或更早版本，并启用了ushki插件。

STEP 2

准备载荷

攻击者构造包含恶意JavaScript代码的载荷，目标参数为f_ushka_new或f_ushk。

STEP 3

传递载荷

攻击者诱骗具有高权限（如管理员）的用户执行交互操作，提交包含恶意参数的请求。

STEP 4

执行攻击

当管理员查看受影响的数据时，未经过滤的恶意脚本在浏览器中执行，导致XSS攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-7016
Target: MaxSite CMS ushki plugin
Description: Injecting XSS payload via f_ushka_new parameter
-->

<html>
<body>
<form action="http://target.com/admin/ushki_edit" method="POST">
  <input type="hidden" name="f_ushka_new" value="<script>alert('CVE-2026-7016')</script>">
  <input type="hidden" name="f_ushk" value="test">
  <input type="submit" value="Submit">
</form>
</body>
</html>

影响范围

MaxSite CMS <= 109.3

防御指南

临时缓解措施

限制对ushki插件组件的访问权限，确保只有受信任的管理员可以访问。加强输入验证，对所有用户提交的参数（特别是f_ushka_new和f_ushk）进行严格的HTML实体编码过滤，防止脚本注入。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表