CVE-2025-34401

Nome do Software Vulnerável e Versões Afetadas Versões do MailEnable anteriores a 10.54

Descrição O software contém uma vulnerabilidade de cross-site scripting (XSS) refletido no parâmetro FieldBcc do endpoint ''/Mondo/lang/sys/Forms/AddressBook.aspx''. O valor de FieldBcc não é devidamente sanitizado quando processado via uma requisição GET e é refletido dentro de um bloco . Um atacante pode executar JavaScript arbitrário no navegador de uma vítima durante a composição normal de e-mail, fornecendo um payload elaborado que termina a função existente LoadCurAddresses(), insere script controlado pelo atacante e comenta o código restante. A exploração bem-sucedida poderia redirecionar vítimas para sites maliciosos, roubar cookies não HttpOnly, injetar HTML ou CSS arbitrário e realizar ações como o usuário autenticado.

Recomendações Atualize para a versão 10.54 ou posterior.