CVE-2025-34401CVE-2025-34401是MailEnable邮件服务器中一个反射型跨站脚本(XSS)漏洞。该漏洞存在于/Mondo/lang/sys/Forms/AddressBook.aspx页面的FieldBcc参数中,攻击者可以通过构造恶意链接诱使受害者访问,从而在受害者浏览器中执行任意JavaScript代码。由于该漏洞无需认证即可利用,且影响邮件正常撰写流程,攻击者可窃取用户cookies(包括非HttpOnly cookies)、重定向用户至恶意网站、注入任意HTML或CSS内容,甚至以受害者身份执行操作,对用户和企业安全造成威胁。CVSS评分6.1,属于中等严重程度。
该漏洞为反射型XSS,攻击原理如下:1) FieldBcc参数值在通过GET请求处理时未被正确消毒;2) 用户输入被直接反射到<script>块内的JavaScript变量var BCCFieldProvided中;3) 攻击者可通过构造恶意载荷终止现有的LoadCurAddresses()函数,插入攻击者控制的脚本,并注释掉剩余代码;4) 当受害者正常撰写邮件时访问恶意链接,即可在其浏览器上下文中执行任意JavaScript。攻击成功的前提条件是用户访问攻击者构造的恶意链接,且漏洞存在于邮件系统的地址簿功能中,涉及邮件撰写这一高频率操作场景。