CVE-2025-34409

Nome do Software Vulnerável e Versões Afetadas Versões do MailEnable anteriores à 10.54

Descrição O software contém uma vulnerabilidade de cross-site scripting (XSS) refletido no parâmetro Failed do endpoint ''/Mondo/lang/sys/Forms/MAI/AddRecipientsResult.aspx''. O valor de Failed não é devidamente sanitizado quando processado via uma requisição GET e é refletido na resposta, permitindo que um atacante injete scripts arbitrários. Um atacante pode fornecer um payload especialmente criado para fechar um elemento de lista HTML existente, inserir JavaScript controlado pelo atacante e comentar o código restante, resultando na execução de script no navegador da vítima quando esta visita um link malicioso. A exploração bem-sucedida pode redirecionar vítimas para sites maliciosos, roubar cookies não HttpOnly, injetar HTML ou CSS arbitrários e realizar ações como o usuário autenticado.

Recomendações Atualize para a versão 10.54 ou posterior.