MaxSite CMS đến 109.1 MarkItUp Preview AJAX Endpoint preview-ajax.php eval nâng cao đặc quyền
| CVSS Điểm tạm thời meta | Giá khai thác hiện tại (≈) | Điểm quan tâm CTI |
|---|---|---|
| 8.4 | $0-$5k | 0.00 |
Tóm tắt
Một điểm yếu được xếp loại là nghiêm trọng đã được tìm thấy ở MaxSite CMS đến 109.1. Trường hợp bị ảnh hưởng là hàm eval của tệp application/maxsite/admin/plugins/editor_markitup/preview-ajax.php của thành phần MarkItUp Preview AJAX Endpoint. Việc thao tác dẫn đến nâng cao đặc quyền.
Lỗ hổng này được giao dịch dưới mã CVE-2026-3395. Có khả năng tiến hành cuộc tấn công từ xa. Bên cạnh đó, mã khai thác đã được phát hành.
Khuyến nghị nâng cấp thành phần bị ảnh hưởng.
Chi tiết
Một điểm yếu được xếp loại là nghiêm trọng đã được tìm thấy ở MaxSite CMS đến 109.1. Trường hợp bị ảnh hưởng là hàm eval của tệp application/maxsite/admin/plugins/editor_markitup/preview-ajax.php của thành phần MarkItUp Preview AJAX Endpoint. Việc thao tác dẫn đến nâng cao đặc quyền. Việc sử dụng CWE để khai báo sự cố dẫn đến CWE-94. Lỗ hổng đã được công bố.
Lỗ hổng này được giao dịch dưới mã CVE-2026-3395. Có khả năng tiến hành cuộc tấn công từ xa. Thông tin kỹ thuật đã có sẵn. Lỗ hổng này có mức độ phổ biến thấp hơn trung bình. Bên cạnh đó, mã khai thác đã được phát hành. Thông tin về khai thác đã được công bố rộng rãi và có khả năng bị lợi dụng. Giá hiện tại cho một exploit có thể khoảng USD $0-$5k vào thời điểm này. Dự án MITRE ATT&CK xác định kỹ thuật tấn công là T1059.
Nếu tồn tại độ dài, thì nó được xác định là bằng chứng khái niệm.
Nâng cấp lên phiên bản 109.2 có thể khắc phục vấn đề này. Bản vá có tên là 08937a3c5d672a242d68f53e9fccf8a748820ef3. Bản sửa lỗi hiện đã có thể tải về tại github.com. Khuyến nghị nâng cấp thành phần bị ảnh hưởng.
Sản phẩm
Loại
Nhà cung cấp
Tên
Phiên bản
Giấy phép
Trang web
- Sản phẩm: https://github.com/maxsite/cms/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Độ tin cậy: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Điểm cơ sở meta: 8.5VulDB Điểm tạm thời meta: 8.4
VulDB Điểm cơ sở: 7.3
VulDB Điểm tạm thời: 6.6
VulDB Vector: 🔒
VulDB Độ tin cậy: 🔍
Nhà nghiên cứu Điểm cơ sở: 9.8
Nhà nghiên cứu Vector: 🔒
NVD Điểm cơ sở: 9.8
NVD Vector: 🔒
CNA Điểm cơ sở: 7.3
CNA Vector: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Véc-tơ | Độ phức tạp | Xác thực | Bí mật | Toàn vẹn | Khả dụng |
|---|---|---|---|---|---|
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
VulDB Điểm cơ sở: 🔒
VulDB Điểm tạm thời: 🔒
VulDB Độ tin cậy: 🔍
Nhà nghiên cứu Điểm cơ sở: 🔒
Khai thác
Lớp: Nâng cao đặc quyềnCWE: CWE-94 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
Vật lý: Không
Cục bộ: Không
Từ xa: Có
Khả dụng: 🔒
Truy cập: Công khai
Trạng thái: Bằng chứng khái niệm
Google Hack: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Dự đoán giá: 🔍
Ước tính giá hiện tại: 🔒
| 0-Day | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
|---|---|---|---|---|
| Hôm nay | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
Tình báo mối đe dọa
Sự quan tâm: 🔍Diễn viên đang hoạt động: 🔍
Nhóm APT đang hoạt động: 🔍
Biện pháp đối phó
Khuyến nghị: nâng cấpTrạng thái: 🔍
Thời gian 0-ngày: 🔒
nâng cấp: CMS 109.2
Bản vá: 08937a3c5d672a242d68f53e9fccf8a748820ef3
dòng thời gian
28/02/2026 Khuyến cáo đã công bố28/02/2026 Mục VulDB đã được tạo
05/03/2026 Cập nhật lần cuối VulDB
Nguồn
Sản phẩm: github.comTrạng thái: Đã xác nhận
CVE: CVE-2026-3395 (🔒)
GCVE (CVE): GCVE-0-2026-3395
GCVE (VulDB): GCVE-100-348281
EUVD: 🔒
scip Labs: https://www.scip.ch/en/?labs.20161013
mục
Được tạo: 28/02/2026 18:20Đã cập nhật: 05/03/2026 03:02
Thay đổi: 28/02/2026 18:20 (60), 01/03/2026 02:32 (6), 01/03/2026 02:33 (8), 01/03/2026 02:36 (4), 01/03/2026 20:03 (31), 01/03/2026 21:10 (1), 03/03/2026 15:23 (1), 05/03/2026 03:02 (10)
Hoàn chỉnh: 🔍
Người gửi: mrsolo404
Người cam kết: mrsolo404
Cache ID: 216::103
Gửi
được chấp nhận
- Gửi #762169: maxsite CMS CMS 109.1 Code Injection (Bởi mrsolo404)
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Chưa có bình luận nào Ngôn ngữ: vi + km + en.
Vui lòng đăng nhập để bình luận