CVE-2025-34425

Nome do Software Vulnerável e Versões Afetadas Versões do MailEnable anteriores à 10.54

Descrição Versões do MailEnable anteriores à 10.54 contêm uma vulnerabilidade de cross-site scripting (XSS) refletido no parâmetro WindowContext do endpoint ''/Mondo/lang/sys/Forms/MAI/compose.aspx''. O valor de WindowContext não é devidamente sanitizado quando processado via uma requisição GET e é refletido dentro de um contexto , permitindo que um atacante injete JavaScript arbitrário. Um atacante pode fornecer um payload elaborado que termina a função ProcessContextSwitchResult(), insere script controlado pelo atacante e comenta o código restante, levando à execução de script no navegador da vítima quando a vítima visita um link malicioso ou tenta enviar um e-mail. A exploração bem-sucedida pode redirecionar vítimas para sites maliciosos, roubar cookies não HttpOnly, injetar HTML ou CSS arbitrário e realizar ações como o usuário autenticado.

Recomendações Atualize o MailEnable para a versão 10.54 ou superior.