Plateforme
wordpress
Composant
transmail
Corrigé dans
3.3.2
Une vulnérabilité de type Cross-Site Scripting (XSS) a été découverte dans Zoho ZeptoMail, affectant les versions de 0.0.0 à 3.3.1. Cette faille permet à un attaquant d'injecter des scripts malveillants via une requête CSRF, compromettant potentiellement la sécurité des utilisateurs. La version 3.3.2 corrige cette vulnérabilité et est fortement recommandée.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript malveillant dans les pages web consultées par les utilisateurs de Zoho ZeptoMail. Cela peut conduire au vol de cookies de session, à la redirection vers des sites web malveillants, ou à la modification du contenu affiché. Dans le pire des cas, un attaquant pourrait prendre le contrôle du compte d'un utilisateur et accéder à des informations sensibles. Le risque est amplifié si Zoho ZeptoMail est utilisé pour traiter des données confidentielles ou pour des transactions financières.
Cette vulnérabilité est publique depuis le 31 décembre 2025. Aucune preuve d'exploitation active n'a été rapportée à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nature de la vulnérabilité XSS et de la disponibilité potentielle de scripts d'exploitation. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
Organizations utilizing Zoho ZeptoMail, particularly those with sensitive email data or critical business processes reliant on the platform, are at risk. Shared hosting environments where multiple users share the same ZeptoMail instance are especially vulnerable, as an attacker compromising one user's account could potentially gain access to others.
• wordpress / composer / npm:
grep -r 'transmail' /var/www/html/zeptomail/plugins/• generic web:
curl -I https://your-zeptomail-domain.com/transmail?script=<script>alert(1)</script>disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Zoho ZeptoMail vers la version 3.3.2 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est recommandé de désactiver temporairement les fonctionnalités susceptibles d'être exploitées par une attaque CSRF. Il est également possible de mettre en place des règles de filtrage côté serveur pour bloquer les requêtes CSRF suspectes. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte.
Mettre à jour vers la version 3.3.2, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-49028 décrit une vulnérabilité de type Cross-Site Scripting (XSS) dans Zoho ZeptoMail, permettant l'exécution de scripts malveillants via une requête CSRF.
Oui, si vous utilisez Zoho ZeptoMail dans les versions de 0.0.0 à 3.3.1, vous êtes potentiellement affecté(e) par cette vulnérabilité.
La solution est de mettre à jour Zoho ZeptoMail vers la version 3.3.2 ou supérieure, qui corrige cette faille de sécurité.
À ce jour, aucune preuve d'exploitation active n'a été rapportée, mais la vulnérabilité reste présente dans les versions non corrigées.
Consultez le site web de Zoho pour obtenir les dernières informations et l'avis officiel concernant cette vulnérabilité : [https://www.zoho.com/securityadvisories/](https://www.zoho.com/securityadvisories/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.