Vulnerabilidad de XSS Almacenada
Plataforma
manageengine
Componente
manageengine-exchange-reporter-plus
Corregido en
5802
La vulnerabilidad CVE-2026-28703 es una vulnerabilidad de XSS almacenada descubierta en ManageEngine Exchange Reporter Plus. Esta falla permite a un atacante inyectar scripts maliciosos en el informe 'Mails Exchanged Between Users', que se ejecutan cuando otros usuarios acceden al informe. Las versiones afectadas son aquellas anteriores a la 5802. Una actualización a la versión 5802 corrige esta vulnerabilidad.
Impacto y Escenarios de Ataque
Un atacante que explote esta vulnerabilidad puede inyectar código JavaScript malicioso en el informe 'Mails Exchanged Between Users'. Cuando otros usuarios visualizan este informe, el script se ejecuta en su navegador, permitiendo al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos o realizar otras acciones maliciosas en nombre del usuario. El impacto puede ser significativo, comprometiendo la confidencialidad de la información sensible y la integridad del sistema. La ejecución de código arbitrario en el contexto del usuario afectado puede llevar a la exfiltración de datos y el control del sistema.
Contexto de Explotación
La vulnerabilidad fue publicada el 2026-04-03. Actualmente no se dispone de información sobre explotación activa en la naturaleza. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Quién Está en Riesgotraduciendo…
Organizations using ManageEngine Exchange Reporter Plus versions 0–5802 are at risk, particularly those with a large number of users accessing the 'Mails Exchanged Between Users' report. Shared hosting environments where multiple tenants share the same Exchange Reporter Plus instance are also at increased risk, as a compromised tenant could potentially impact other tenants.
Pasos de Deteccióntraduciendo…
• web: Use curl or wget to check the 'Mails Exchanged Between Users' report endpoint for unusual JavaScript code. Inspect response headers for unexpected content-security-policy directives.
curl -s 'http://<exchange_reporter_plus_url>/reports/mails_exchanged_between_users.aspx' | grep -i '<script>' • generic web: Monitor access and error logs for requests containing suspicious JavaScript payloads targeting the report endpoint. • generic web: Review response headers for signs of XSS filtering bypass attempts.
Cronología del Ataque
- Disclosure
disclosure
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para CVE-2026-28703 es actualizar ManageEngine Exchange Reporter Plus a la versión 5802 o superior. Si la actualización no es inmediatamente posible, se recomienda revisar y restringir el acceso al informe 'Mails Exchanged Between Users', limitando quién puede visualizarlo y modificarlo. Implementar políticas de seguridad de contenido (CSP) en el servidor web puede ayudar a mitigar el riesgo de ejecución de scripts maliciosos. Monitorear los registros del servidor en busca de actividad sospechosa, como la inyección de código o la ejecución de scripts desconocidos, también es crucial.
Cómo corregirlotraduciendo…
Actualice ManageEngine Exchange Reporter Plus a la versión 5802 o posterior. Esta actualización corrige la vulnerabilidad XSS almacenada en el informe 'Mails Exchanged Between Users'.
Boletín de seguridad CVE
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Preguntas frecuentestraduciendo…
What is CVE-2026-28703 — XSS in ManageEngine Exchange Reporter Plus?
CVE-2026-28703 is a Stored XSS vulnerability in ManageEngine Exchange Reporter Plus versions 0–5802, allowing attackers to inject malicious scripts into the 'Mails Exchanged Between Users' report.
Am I affected by CVE-2026-28703 in ManageEngine Exchange Reporter Plus?
If you are using ManageEngine Exchange Reporter Plus versions 0–5802, you are potentially affected by this vulnerability. Upgrade to version 5802 or later to mitigate the risk.
How do I fix CVE-2026-28703 in ManageEngine Exchange Reporter Plus?
The recommended fix is to upgrade ManageEngine Exchange Reporter Plus to version 5802 or later. As a temporary workaround, restrict access to the vulnerable report.
Is CVE-2026-28703 being actively exploited?
As of the current date, there are no confirmed reports of active exploitation of CVE-2026-28703, but it is important to apply the patch proactively.
Where can I find the official ManageEngine advisory for CVE-2026-28703?
Please refer to the official ManageEngine security advisory for detailed information and updates regarding CVE-2026-28703: [https://www.manageengine.com/products/exchange-reporter-plus/security-advisories.html]
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.