| tiêu đề | 1Panel-dev MaxKB <= v2.6.1 Stored XSS |
|---|
| Mô tả | A Stored Cross-Site Scripting (XSS) vulnerability exists in MaxKB. Authenticated users can inject malicious JavaScript into the application name or icon fields when creating an application. When a victim visits the public chat interface (/ui/chat/{access_token}), the ChatHeadersMiddleware retrieves the application data and directly inserts the unescaped application name and icon into the HTML response via string replacement. This allows an attacker to execute arbitrary JavaScript in the victim's browser context.
|
|---|
| Nguồn | ⚠️ https://github.com/AnalogyC0de/public_exp/issues/24 |
|---|
| Người dùng | Ana10gy (UID 93358) |
|---|
| Đệ trình | 18/03/2026 12:56 (cách đây 27 ngày) |
|---|
| Kiểm duyệt | 11/04/2026 09:35 (24 days later) |
|---|
| Trạng thái | được chấp nhận |
|---|
| Mục VulDB | 356966 [1Panel-dev MaxKB đến 2.6.1 ChatHeadersMiddleware chat_headers_middleware.py Tên Tập lệnh chéo trang] |
|---|
| điểm | 20 |
|---|