• 网站首页
  •   >   威胁情报
  •   >   正文
  • 威胁情报

    MaxSite CMS 代码注入漏洞(CVE-2026-3395)

    发布日期:2026-03-02    浏览次数:

    MaxSite CMS 代码注入漏洞(CVE-2026-3395

    一、漏洞信息


    1.漏洞类型:代码注入(Code Injection),具体表现为通过 eval() 函数执行未经验证的用户输入,导致远程代码执行风险。

    2.影响产品及版本:MaxSite CMS 109.1 及更早版本,受影响组件为 application/maxsite/admin/plugins/editor_markitup/preview-ajax.php 文件中的 eval() 调用逻辑。

    3.攻击场景:攻击者可通过构造恶意请求,向 preview-ajax.php 接口发送特制的 data 参数,利用 eval() 函数执行任意 PHP 代码,实现远程代码执行(RCE),进而完全控制服务器。

    4.在野利用情况:已确认存在公开的漏洞利用代码(Public EXP),且漏洞利用方法已在 GitHub 提交记录中披露,表明该漏洞已被公开传播,具备实际攻击可行性。

    5.威胁团伙:暂无明确关联已知APT组织或特定威胁团伙,但鉴于其高危性与公开利用代码,可能被广泛用于自动化扫描与批量攻击,尤其针对未及时升级的老旧CMS系统。


    二、安全活动事件分析


    事件一:202631日,MaxSite CMS 官方发布安全通告,披露 CVE-2026-3395 代码注入漏洞,并指出该漏洞存在于 preview-ajax.php 文件中,可通过 eval() 执行任意代码。

    事件二:202632日,安全研究者在 GitHub 上发布补丁提交记录(commit: 08937a3c5d672a242d68f53e9fccf8a748820ef3),证实漏洞已在版本 109.2 中修复,同时多个漏洞数据库(如 VulDB)已收录该漏洞并标注为高危


    三、技术分析


    分析:该漏洞本质是典型的动态代码执行缺陷,开发者在 preview-ajax.php 中直接使用 eval($_POST['data']) 处理用户输入,未进行任何过滤或白名单校验,极易被攻击者构造恶意 payload 实现远程命令执行。结合 CVSS 3.1 得分为 7.3(高危),且攻击无需认证、无需用户交互,具备极高的利用价值。当前已有公开 EXP,表明该漏洞已进入在野活跃阶段,存在被用于横向移动、持久化驻留、挖矿、勒索等恶意行为的风险。


    四、建议措施:


    立即升级:将 MaxSite CMS 升级至 109.2 版本或更高版本,以修复 eval() 函数的滥用问题。

    临时缓解:若无法立即升级,应立即禁用 preview-ajax.php 接口或通过 Web 应用防火墙(WAF)规则拦截对 /admin/plugins/editor_markitup/preview-ajax.php POST 请求,尤其是包含 evalsystemshell_exec 等敏感函数的请求体。

    输入验证与代码审计:对所有涉及动态执行的代码路径进行安全审计,禁止使用 eval()assert()create_function() 等危险函数,改用白名单机制或安全的解析器替代。

    日志监控:启用对 preview-ajax.php 接口的访问日志监控,关注异常请求(如包含 PHP 代码片段的 POST 数据),及时发现潜在攻击行为。


    五、结论概述


    综合分析开源情报与漏洞技术细节,CVE-2026-3395 是一个高危远程代码执行漏洞,存在于 MaxSite CMS 109.1 及更早版本中,攻击者可利用 eval() 函数执行任意代码,且已存在公开利用代码。尽管尚未发现大规模在野攻击的明确证据,但其高可利用性与公开性已构成严重威胁。建议所有使用该 CMS 的用户立即升级至 109.2 版本,或采取临时防护措施,防止被攻击者利用。



    一审:胡洋

    二审:胡洋

    三审:杨文

    地址: 成都市外东成洛大道2025号 版权所有©成都大学 蜀ICP备05006454号电话:028-84616931  邮编:610106