CVE-2026-4108Zohocorp ManageEngine Exchange Reporter Plus是一款用于Microsoft Exchange服务器的报表和审计解决方案。在5802版本之前的软件中,非所有者邮箱权限报告功能存在存储型跨站脚本(XSS)漏洞。由于应用程序未能对用户输入的特定参数进行充分的过滤和转义,攻击者可利用该漏洞在报告中注入恶意脚本代码。当经过身份认证的管理员或其他用户查看受影响的报告时,恶意脚本将在其浏览器上下文中执行。该漏洞的CVSS v3.1评分为7.3,属于高危漏洞,可能导致高机密性和完整性影响,攻击者可借此窃取会话令牌或执行未授权操作。
该漏洞属于存储型XSS(Cross-Site Scripting)漏洞,其根本原因在于应用程序在处理“非所有者邮箱权限报告”相关数据时,未对用户提供的输入实施严格的输出编码。攻击者首先需要以低权限用户身份登录系统(PR:L),并在生成报告或配置相关权限信息的输入点注入精心构造的JavaScript payload。这些payload被存储在服务器端的数据库中,并未经过净化处理。随后,当具有更高权限的管理员(或其他用户)访问并渲染该报告时,服务器会将存储的恶意数据直接回显到HTML页面中。由于缺乏上下文感知的编码,浏览器将解析并执行这些恶意脚本。利用CVSS向量中的UI:R(需要用户交互)特性,攻击者诱导管理员点击或查看该特定报告,从而触发攻击。一旦脚本执行,攻击者即可利用受害者的会话Cookie伪造身份,进而接管管理员账户,执行删除数据、修改配置等破坏完整性(I:H)和窃取敏感信息(C:H)的操作。