CVE-2025-34400

Nome do Software Vulnerável e Versões Afetadas Versões do MailEnable anteriores a 10.54

Descrição Versões do MailEnable anteriores a 10.54 contêm uma vulnerabilidade de cross-site scripting (XSS) refletido no parâmetro AddressesTo do endpoint ''/Mondo/lang/sys/Forms/AddressBook.aspx''. O valor de AddressesTo não é devidamente sanitizado quando processado via uma requisição GET e é refletido dentro de um bloco <script> na resposta. Um atacante remoto pode executar JavaScript arbitrário no navegador de uma vítima quando a vítima tenta enviar um e-mail, fornecendo uma payload elaborada que termina o JavaScript existente, insere script controlado pelo atacante e comenta o código restante. A exploração bem-sucedida pode redirecionar vítimas para sites maliciosos, roubar cookies não HttpOnly, injetar HTML ou CSS arbitrário e realizar ações como o usuário autenticado.

Recomendações Atualize o MailEnable para a versão 10.54 ou posterior.