MaxSite CMS 代码注入漏洞(CVE-2026-3395)
一、漏洞信息
1.漏洞类型:代码注入(Code Injection),具体表现为通过 eval() 函数执行未经验证的用户输入,导致远程代码执行风险。
2.影响产品及版本:MaxSite CMS 109.1 及更早版本,受影响组件为 application/maxsite/admin/plugins/editor_markitup/preview-ajax.php 文件中的 eval() 调用逻辑。
3.攻击场景:攻击者可通过构造恶意请求,向 preview-ajax.php 接口发送特制的 data 参数,利用 eval() 函数执行任意 PHP 代码,实现远程代码执行(RCE),进而完全控制服务器。
4.在野利用情况:已确认存在公开的漏洞利用代码(Public EXP),且漏洞利用方法已在 GitHub 提交记录中披露,表明该漏洞已被公开传播,具备实际攻击可行性。
5.威胁团伙:暂无明确关联已知APT组织或特定威胁团伙,但鉴于其高危性与公开利用代码,可能被广泛用于自动化扫描与批量攻击,尤其针对未及时升级的老旧CMS系统。
二、安全活动事件分析
事件一:2026年3月1日,MaxSite CMS 官方发布安全通告,披露 CVE-2026-3395 代码注入漏洞,并指出该漏洞存在于 preview-ajax.php 文件中,可通过 eval() 执行任意代码。
事件二:2026年3月2日,安全研究者在 GitHub 上发布补丁提交记录(commit: 08937a3c5d672a242d68f53e9fccf8a748820ef3),证实漏洞已在版本 109.2 中修复,同时多个漏洞数据库(如 VulDB)已收录该漏洞并标注为“高危”。
三、技术分析
分析:该漏洞本质是典型的“动态代码执行”缺陷,开发者在 preview-ajax.php 中直接使用 eval($_POST['data']) 处理用户输入,未进行任何过滤或白名单校验,极易被攻击者构造恶意 payload 实现远程命令执行。结合 CVSS 3.1 得分为 7.3(高危),且攻击无需认证、无需用户交互,具备极高的利用价值。当前已有公开 EXP,表明该漏洞已进入“在野活跃”阶段,存在被用于横向移动、持久化驻留、挖矿、勒索等恶意行为的风险。
四、建议措施:
立即升级:将 MaxSite CMS 升级至 109.2 版本或更高版本,以修复 eval() 函数的滥用问题。
临时缓解:若无法立即升级,应立即禁用 preview-ajax.php 接口或通过 Web 应用防火墙(WAF)规则拦截对 /admin/plugins/editor_markitup/preview-ajax.php 的 POST 请求,尤其是包含 eval、system、shell_exec 等敏感函数的请求体。
输入验证与代码审计:对所有涉及动态执行的代码路径进行安全审计,禁止使用 eval()、assert()、create_function() 等危险函数,改用白名单机制或安全的解析器替代。
日志监控:启用对 preview-ajax.php 接口的访问日志监控,关注异常请求(如包含 PHP 代码片段的 POST 数据),及时发现潜在攻击行为。
五、结论概述
综合分析开源情报与漏洞技术细节,CVE-2026-3395 是一个高危远程代码执行漏洞,存在于 MaxSite CMS 109.1 及更早版本中,攻击者可利用 eval() 函数执行任意代码,且已存在公开利用代码。尽管尚未发现大规模在野攻击的明确证据,但其高可利用性与公开性已构成严重威胁。建议所有使用该 CMS 的用户立即升级至 109.2 版本,或采取临时防护措施,防止被攻击者利用。