PT-2025-26957 · Manageengine · Zoho Manageengine Exchange Reporter Plus
Ngockhanhc311
·
Publicado
2025-06-26
·
Atualizado
2025-07-01
·
CVE-2025-5966
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas:
ManageEngine Exchange Reporter Plus versões 5722 e inferiores
Descrição:
O problema refere-se a uma vulnerabilidade de XSS Armazenado no relatório de Anexos por palavra-chave de nome de arquivo. Isso afeta o gerenciamento de anexos baseado em palavras-chave de nome de arquivo, potencialmente permitindo que scripts maliciosos sejam armazenados e executados.
Recomendações:
Para as versões 5722 e inferiores, considere desativar a funcionalidade de relatório para anexos por palavra-chave de nome de arquivo até que uma correção esteja disponível. Restrinja o acesso ao módulo de relatório de anexos para minimizar o risco de exploração. Evite utilizar o recurso de palavra-chave de nome de arquivo no relatório afetado até que o problema seja resolvido.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zoho Manageengine Exchange Reporter Plus