CVE-2026-28754 CVSS 7.3 高危

CVE-2026-28754: ManageEngine Exchange Reporter Plus 存储型XSS漏洞

披露日期: 2026-04-03

来源: 0fc0942c-577d-436f-ae8e-945763c79b02

漏洞信息

漏洞编号

CVE-2026-28754

漏洞类型

存储型XSS

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Zohocorp ManageEngine Exchange Reporter Plus

漏洞概述

Zohocorp ManageEngine Exchange Reporter Plus 5802之前的版本中存在存储型跨站脚本（Stored XSS）漏洞。该漏洞位于“Distribution Lists”报告功能中，由于应用程序未能对用户输入进行充分的过滤和转义，导致攻击者可以在报告中注入恶意脚本代码。当特权用户查看受感染的报告时，恶意脚本将在其浏览器上下文中执行，从而可能导致会话劫持或敏感信息窃取。

技术细节

该漏洞源于Zohocorp ManageEngine Exchange Reporter Plus在处理Distribution Lists报告数据时，对用户提供的输入缺乏严格的输入验证和输出编码。攻击者可以通过向受影响的字段注入恶意JavaScript payload，该payload会被持久化存储在服务器端的数据库中。由于应用程序在后续生成并渲染Distribution Lists报告时，未对从数据库读取的数据进行适当的HTML实体编码或上下文感知的转义，导致恶意脚本代码直接嵌入到响应页面的HTML源码中。一旦具有较高权限的管理员用户访问并浏览该特定报告，嵌入的恶意脚本将在其浏览器会话上下文中自动执行。利用此漏洞，攻击者可以窃取管理员的Session ID，劫持用户会话，以管理员身份执行任意操作，或者结合其他攻击向量进一步控制服务器。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标系统运行的是Zohocorp ManageEngine Exchange Reporter Plus且版本低于5802。

STEP 2

2. 恶意注入

攻击者向“Distribution Lists”报告相关的接口发送带有恶意JavaScript代码的数据包。

STEP 3

3. 数据存储

由于后端缺乏过滤，应用程序将恶意脚本存储在数据库中。

STEP 4

4. 触发漏洞

当管理员或其他用户访问包含恶意数据的Distribution Lists报告页面时，服务器返回未转义的HTML内容。

STEP 5

5. 执行攻击

受害者的浏览器解析并执行恶意脚本，攻击者可借此窃取Cookie或进行后续操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
Conceptual Proof of Concept for CVE-2026-28754
Target: ManageEngine Exchange Reporter Plus < 5802
-->

<script>
    // This payload demonstrates the injection capability
    // In a real scenario, this would be sent via a POST request to the Distribution Lists report endpoint
    
    function exploit() {
        // Example malicious payload
        var xssPayload = '"><script>alert(document.cookie)<\/script>';
        
        // Simulating the injection point (e.g., list name or description field)
        var vulnerableInput = document.querySelector('input[name="listName"]');
        
        if (vulnerableInput) {
            vulnerableInput.value = xssPayload;
            console.log("Payload injected: " + xssPayload);
        }
    }
    
    // Execute
    exploit();
</script>

影响范围

Zohocorp ManageEngine Exchange Reporter Plus < 5802

防御指南

临时缓解措施

在未升级补丁前，建议限制对Distribution Lists报告功能的访问权限，仅允许受信任的管理员访问；同时部署Web应用防火墙（WAF）以拦截常见的XSS攻击载荷。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表