漏洞总结:Mailcow Dockerized 2026-03b 队列管理器存储型 XSS 漏洞概述 漏洞名称:Mailcow Dockerized 2026-03b - Stored XSS in Queue Manager 漏洞类型:存储型跨站脚本攻击 (Stored XSS) 严重程度:高危 (CVSS v4.0 基础评分 7.4) CVE ID:CVE-2026-7460 发现者:Oscar Naveda (Fluid Attacks AI SAST Scanner) 漏洞成因:管理员队列管理器 (Queue Manager) 在从 Docker API 获取邮件队列数据后,未对 、 和 等字段进行 HTML 转义,直接将其作为 HTML 属性或内容插入到 DataTables 表格中,导致恶意脚本在管理员浏览器中执行。 影响范围 攻击者要求:低权限邮件发送者或任何能向 Postfix 队列注入包含 HTML 标记的邮件的人。 受害者:拥有管理员权限的用户(访问 )。 潜在危害: 读取管理员可见的 Mailcow UI 数据。 通过认证的 API 执行管理员操作(受 CSRF 和权限检查限制)。 窃取或滥用管理员的浏览器会话。 修复方案 核心修复:在将队列数据(特别是 、 、 )渲染到前端 HTML 之前,必须进行严格的 HTML 实体编码(HTML Entity Encoding)。 具体建议: 1. 在 API 返回数据前或前端 JavaScript 渲染 DataTables 时,对包含用户可控数据的字段进行转义。 2. 避免使用 直接插入未转义的数据,应使用 或安全的 DOM 操作方法。 3. 对 等用于 HTML 属性值的字段,确保其值不包含引号或特殊字符,或使用 等函数进行编码。 POC 代码 1. 恶意队列行 JSON 示例 (触发 sender 列 XSS) 2. 恶意 queue_id 示例 (触发 checkbox 属性 XSS) 3. 正常队列响应示例 (用于对比) 4. 相关代码片段 (漏洞点) API 返回原始数据 (未转义): 前端未转义插入 DataTables: DataTables 渲染为 HTML: