CVE-2025-34399

Nome do Software Vulnerável e Versões Afetadas Versões do MailEnable anteriores à 10.54

Descrição Versões do MailEnable anteriores à 10.54 contêm uma vulnerabilidade de cross-site scripting (XSS) refletido no parâmetro AddressesCc do endpoint ''/Mondo/lang/sys/Forms/AddressBook.aspx''. O valor de AddressesCc não é devidamente sanitizado quando processado via uma requisição GET e é refletido dentro de um bloco . Um atacante pode executar JavaScript arbitrário no navegador de uma vítima fornecendo um payload elaborado que termina a função LoadCurAddresses(), insere script controlado pelo atacante e comenta o código restante. A exploração bem-sucedida poderia redirecionar vítimas para sites maliciosos, roubar cookies não HttpOnly, injetar HTML ou CSS arbitrário e realizar ações como o usuário autenticado.

Recomendações Atualize o MailEnable para a versão 10.54 ou posterior.