CVE-2026-3880 CVSS 7.3 高危

CVE-2026-3880 ManageEngine存储型XSS漏洞

披露日期: 2026-04-03

来源: 0fc0942c-577d-436f-ae8e-945763c79b02

漏洞信息

漏洞编号

CVE-2026-3880

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Zohocorp ManageEngine Exchange Reporter Plus

漏洞概述

Zohocorp ManageEngine Exchange Reporter Plus 5802之前的版本中存在严重的存储型跨站脚本（XSS）漏洞。该漏洞出现在“Public Folder Client Permissions”报告生成模块中，由于缺乏对用户输入的严格过滤，攻击者可利用低权限账户植入恶意JavaScript代码。当具有更高权限的管理员访问并查看该被篡改的报告时，恶意脚本将在其浏览器上下文中执行，从而导致会话被劫持或敏感信息被窃取。

技术细节

该漏洞属于典型的存储型跨站脚本攻击（Stored XSS）。在Zohocorp ManageEngine Exchange Reporter Plus受影响版本中，用于配置或展示“Public Folder Client Permissions”报告的接口未实施有效的输入验证机制。攻击者利用低权限用户身份，可以在相关字段（如文件夹权限描述或客户端名称）中注入恶意的HTML或JavaScript代码。应用程序将这些数据未经任何转义处理直接存储在数据库后端。后续，当管理员或其他授权用户访问包含该数据的报告页面时，服务器会将存储的恶意脚本作为响应内容的一部分发送给客户端浏览器。浏览器解析并执行这些脚本，攻击者便借此窃取管理员的Session Cookie、执行特权操作，或者进一步渗透内网环境。由于CVSS向量显示UI:R，攻击链的完成需要诱导或等待目标用户查看特定的报告页面。

攻击链分析

STEP 1

1. 获取访问权限

攻击者获取一个Zohocorp ManageEngine Exchange Reporter Plus的低权限账户。

STEP 2

2. 注入恶意负载

攻击者利用低权限账户，在“Public Folder Client Permissions”报告的相关输入字段中注入恶意JavaScript代码（XSS Payload）。

STEP 3

3. 存储恶意代码

应用程序未能过滤输入，将恶意脚本存储在数据库中。

STEP 4

4. 触发漏洞

当管理员或其他高权限用户访问并浏览受污染的报告页面时，恶意脚本在其浏览器中执行。

STEP 5

5. 达成攻击目的

攻击利用执行的环境窃取Session ID、执行未授权操作或进一步渗透系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
Conceptual Proof of Concept (PoC) for CVE-2026-3880
Target: Zohocorp ManageEngine Exchange Reporter Plus < 5802
Vulnerable Parameter: Public Folder Client Permissions report fields
-->

<script>
// Simulating an attacker's payload to be injected into the report
// This payload attempts to steal the administrator's session cookie
var payload = '<img src=x onerror=alert(document.cookie)>';

// Function to simulate the HTTP POST request to inject the payload
// In a real scenario, this would be sent to the vulnerable endpoint
function exploit() {
    console.log("[+] Injecting payload into Public Folder Client Permissions report...");
    
    // The vulnerable endpoint might look like this (hypothetical)
    // POST /servlet/ReportServlet
    let data = {
        "action": "savePermissions",
        "reportName": "Public Folder Client Permissions",
        "clientInput": payload // Malicious input inserted here
    };
    
    // Log the data that would be sent
    console.log("[+] Payload Data:", JSON.stringify(data));
    console.log("[+] Waiting for administrator to view the report...");
}

exploit();
</script>

影响范围

Zohocorp ManageEngine Exchange Reporter Plus < 5802

防御指南

临时缓解措施

在无法立即升级的情况下，建议限制非必要用户对“Public Folder Client Permissions”报告功能的写入权限。同时，部署Web应用防火墙（WAF）并配置规则以拦截针对该报告模块的常见XSS攻击模式。管理员应谨慎对待来源不明的报告请求，并在查看时避免同时登录其他关键系统。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表