Plataforma
wordpress
Componente
transmail
Corregido en
3.3.2
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Zoho ZeptoMail, permitiendo ataques de Cross-Site Request Forgery (CSRF) con XSS almacenado. Esta falla afecta a las versiones desde 0.0.0 hasta la 3.3.1 inclusive. La explotación exitosa puede resultar en el robo de credenciales de usuario y la manipulación de la interfaz de la aplicación. Una actualización a la versión 3.3.2 resuelve esta vulnerabilidad.
La vulnerabilidad XSS en Zoho ZeptoMail permite a un atacante inyectar scripts maliciosos en las páginas web vistas por otros usuarios. Esto puede llevar al robo de cookies de sesión, permitiendo al atacante hacerse pasar por el usuario afectado. Además, el atacante puede modificar el contenido de la página web, engañando al usuario para que realice acciones no deseadas, como cambiar su contraseña o realizar transferencias bancarias. El impacto se amplifica por la naturaleza persistente del XSS almacenado, lo que significa que el script malicioso permanece en el servidor y afecta a todos los usuarios que visiten la página comprometida. Esta vulnerabilidad es similar a otros ataques XSS que han afectado a plataformas de correo electrónico, pudiendo resultar en una pérdida significativa de datos y reputación.
La vulnerabilidad CVE-2025-49028 fue publicada el 31 de diciembre de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. No se han encontrado públicamente pruebas de concepto (PoC) disponibles, lo que sugiere un riesgo de explotación relativamente bajo, aunque la naturaleza de XSS implica que la probabilidad de explotación puede aumentar con el tiempo.
Organizations utilizing Zoho ZeptoMail, particularly those with sensitive email data or critical business processes reliant on the platform, are at risk. Shared hosting environments where multiple users share the same ZeptoMail instance are especially vulnerable, as an attacker compromising one user's account could potentially gain access to others.
• wordpress / composer / npm:
grep -r 'transmail' /var/www/html/zeptomail/plugins/• generic web:
curl -I https://your-zeptomail-domain.com/transmail?script=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-49028 es actualizar Zoho ZeptoMail a la versión 3.3.2 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de XSS conocidos. Monitorear los registros de acceso y error en busca de actividad sospechosa también puede ayudar a detectar y responder a posibles ataques. Después de la actualización, confirme la mitigación revisando los registros de auditoría y realizando pruebas de penetración para verificar que la vulnerabilidad ha sido eliminada.
Actualizar a la versión 3.3.2, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-49028 es una vulnerabilidad de Cross-Site Scripting (XSS) en Zoho ZeptoMail que permite ataques CSRF con XSS almacenado, afectando a versiones 0.0.0–3.3.1.
Si está utilizando Zoho ZeptoMail en versiones 0.0.0 hasta 3.3.1, es vulnerable a esta vulnerabilidad XSS.
Actualice Zoho ZeptoMail a la versión 3.3.2 o superior para corregir esta vulnerabilidad. Implemente validación de entrada como medida temporal.
A la fecha, no se han reportado campañas de explotación activas ni pruebas de concepto públicas disponibles.
Consulte el sitio web de Zoho o su portal de seguridad para obtener la información oficial sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.