Plataforma
manageengine
Componente
manageengine-exchange-reporter-plus
Corregido en
5802
La vulnerabilidad CVE-2026-28754 es una vulnerabilidad de XSS (Cross-Site Scripting) almacenada presente en ManageEngine Exchange Reporter Plus, afectando a versiones anteriores a la 5802. Esta falla permite a un atacante inyectar scripts maliciosos que se ejecutan en el navegador de otros usuarios, comprometiendo la confidencialidad y disponibilidad de la información. Zohocorp ha lanzado una actualización a la versión 5802 para solucionar este problema.
Un atacante puede explotar esta vulnerabilidad para inyectar código JavaScript malicioso en la página de informes de listas de distribución de Exchange Reporter Plus. Cuando un usuario legítimo accede a esta página, el script se ejecuta en su navegador, permitiendo al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos, o incluso realizar acciones en nombre del usuario. El impacto potencial es significativo, ya que un atacante podría obtener acceso no autorizado a información sensible, como correos electrónicos, contactos y calendarios. La ejecución de scripts maliciosos podría también comprometer la integridad de los datos y la disponibilidad del sistema.
La vulnerabilidad fue publicada el 3 de abril de 2026. No se ha reportado explotación activa en entornos reales a la fecha. La puntuación CVSS de 7.3 (ALTO) indica una probabilidad moderada de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations utilizing ManageEngine Exchange Reporter Plus versions 0–5802, particularly those handling sensitive email data or with limited security controls, are at significant risk. Shared hosting environments where multiple users share the same Exchange Reporter Plus instance are also particularly vulnerable.
• manageengine: Examine Exchange Reporter Plus logs for unusual JavaScript execution patterns or suspicious URL parameters in Distribution Lists report requests.
Get-WinEvent -LogName Application -FilterXPath "/Event[System[Provider[@Name='ManageEngine Exchange Reporter Plus']]]" | Where-Object {$_.Message -match "Distribution Lists report"}disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-28754 es actualizar ManageEngine Exchange Reporter Plus a la versión 5802 o superior. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la página de informes de listas de distribución solo a usuarios autorizados. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso. Monitorear los registros del servidor en busca de patrones de inyección de scripts también puede ayudar a detectar y responder a posibles ataques.
Actualizar ManageEngine Exchange Reporter Plus a la versión 5802 o superior. Esta actualización corrige la vulnerabilidad XSS almacenada en los informes de Listas de Distribución.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-28754 is a stored XSS vulnerability affecting ManageEngine Exchange Reporter Plus versions before 5802, allowing attackers to inject malicious scripts via the Distribution Lists report.
If you are using ManageEngine Exchange Reporter Plus versions 0–5802, you are potentially affected by this vulnerability. Upgrade to version 5802 to mitigate the risk.
The recommended fix is to upgrade to version 5802 or later of ManageEngine Exchange Reporter Plus. Consider temporary WAF rules as an interim measure.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants caution.
Please refer to the official ManageEngine security advisory for detailed information and updates: [https://www.manageengine.com/products/exchange-reporter-plus/security-advisories.html]
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.