CVE-2025-5343 CVSS 6.3 中危

CVE-2025-5343 ManageEngine Exchange Reporter Plus存储型XSS漏洞

披露日期: 2025-10-30

来源: 0fc0942c-577d-436f-ae8e-945763c79b02

漏洞信息

漏洞编号

CVE-2025-5343

漏洞类型

存储型XSS

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Zohocorp ManageEngine Exchange Reporter Plus

漏洞概述

Zohocorp ManageEngine Exchange Reporter Plus是一款企业级Exchange服务器报告和审计解决方案。该产品在5721及之前版本中存在存储型跨站脚本（Stored XSS）漏洞，漏洞位于即时搜索（Instant Search）功能模块。攻击者可以通过在搜索功能中注入恶意JavaScript代码，当其他用户访问相关页面时，恶意脚本会自动执行，从而窃取用户会话cookie、劫持用户账户或进行其他恶意操作。由于该漏洞为存储型，恶意代码会被永久保存在服务器端，所有访问该内容的用户都会受到影响。

技术细节

该漏洞源于ManageEngine Exchange Reporter Plus的即时搜索功能对用户输入缺乏充分的输入验证和输出编码。攻击者可以在搜索字段中注入包含<script>标签或JavaScript事件处理器的恶意代码。由于应用未对特殊字符进行正确转义，该代码会被存储在数据库中。当其他用户访问包含该搜索结果的页面时，浏览器会将其作为合法脚本执行，从而绕过同源策略限制。攻击者可利用此漏洞窃取受害者的认证令牌、凭据或执行任意操作。

攻击链分析

STEP 1

步骤1

攻击者通过即时搜索功能注入恶意XSS代码

STEP 2

步骤2

恶意代码被存储在数据库中

STEP 3

步骤3

受害者访问相关页面触发脚本执行

STEP 4

步骤4

攻击者窃取用户会话或执行恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

POST /api/search HTTP/1.1
Host: target.com
Content-Type: application/x-www-form-urlencoded

query=<script>alert(document.cookie)</script>

影响范围

Zohocorp ManageEngine Exchange Reporter Plus <= 5721

防御指南

临时缓解措施

在升级前，可禁用即时搜索功能或限制搜索权限以降低风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表