CVE-2025-34408

Nome do Software Vulnerável e Versões Afetadas Versões do MailEnable anteriores à 10.54

Descrição O software contém uma vulnerabilidade de cross-site scripting (XSS) refletido no parâmetro Added do endpoint ''/Mondo/lang/sys/Forms/MAI/AddRecipientsResult.aspx''. O valor de Added não é devidamente sanitizado quando processado via uma requisição GET e é refletido na resposta, permitindo que um atacante injete scripts arbitrários. Um atacante pode fornecer um payload elaborado que fecha um elemento de lista HTML existente, insere JavaScript controlado pelo atacante e comenta o código restante, levando à execução de script no navegador da vítima quando a vítima visita um link malicioso. A exploração bem-sucedida pode redirecionar vítimas para sites maliciosos, roubar cookies não HttpOnly, injetar HTML ou CSS arbitrários e realizar ações como o usuário autenticado.

Recomendações Atualize o MailEnable para a versão 10.54 ou posterior.