Plataforma
manageengine
Componente
manageengine-exchange-reporter-plus
Corregido en
5802
La vulnerabilidad CVE-2026-28756 es una vulnerabilidad de XSS (Cross-Site Scripting) almacenada que afecta a ManageEngine Exchange Reporter Plus en versiones anteriores a 5802. Esta falla permite a un atacante inyectar scripts maliciosos que se ejecutan en el navegador de otros usuarios al acceder a un informe específico. La vulnerabilidad fue publicada el 3 de abril de 2026 y se corrige en la versión 5802.
Un atacante puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el contexto del navegador de un usuario legítimo. Esto podría permitir el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información confidencial. El impacto se amplifica si el atacante puede comprometer cuentas con privilegios administrativos, permitiéndole controlar completamente el sistema. La naturaleza almacenada de la vulnerabilidad significa que el ataque puede persistir en el sistema hasta que se elimine el contenido malicioso o se aplique la actualización.
La vulnerabilidad CVE-2026-28756 fue publicada el 3 de abril de 2026. No se ha reportado explotación activa a la fecha. La puntuación CVSS de 7.3 (ALTO) indica una probabilidad moderada de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations utilizing ManageEngine Exchange Reporter Plus for email reporting and analysis are at risk, particularly those relying on the Permissions based on Distribution Groups report. Shared hosting environments where multiple users share the same Exchange Reporter Plus instance are especially vulnerable, as an attacker could potentially compromise the entire environment through a single user's session.
• manageengine / web:
curl -s -X POST "<exchange_reporter_plus_url>/report/permissions_based_on_distribution_groups?param=<xss_payload>" | grep -i "<xss_payload>"• generic web:
curl -s -X POST "<exchange_reporter_plus_url>/report/permissions_based_on_distribution_groups?param=<xss_payload>" | grep -i "<xss_payload>"disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-28756 es actualizar ManageEngine Exchange Reporter Plus a la versión 5802 o superior. Si la actualización no es inmediatamente posible, se recomienda revisar y limpiar los informes 'Permissions based on Distribution Groups' en busca de contenido sospechoso. Implementar políticas de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de la vulnerabilidad al restringir las fuentes de scripts que se pueden ejecutar. Además, monitorear los registros del servidor en busca de actividad inusual relacionada con el informe afectado puede ayudar a detectar y responder a posibles ataques.
Actualice ManageEngine Exchange Reporter Plus a la versión 5802 o posterior. Esta actualización corrige la vulnerabilidad XSS almacenada en el informe de Permisos basados en Grupos de Distribución.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-28756 is a stored XSS vulnerability in ManageEngine Exchange Reporter Plus versions before 5802, allowing attackers to inject malicious scripts via the Permissions based on Distribution Groups report.
If you are using ManageEngine Exchange Reporter Plus versions 0–5802, you are potentially affected by this vulnerability. Upgrade to version 5802 to mitigate the risk.
The recommended fix is to upgrade ManageEngine Exchange Reporter Plus to version 5802 or later. Consider input validation and WAF rules as temporary mitigations.
As of the current assessment, there are no confirmed reports of active exploitation of CVE-2026-28756, but the vulnerability is publicly known and could be targeted.
Please refer to the official ManageEngine security advisory for detailed information and updates regarding CVE-2026-28756: [https://www.manageengine.com/products/exchange-reporter-plus/security-advisories.html]
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.