CVE-2025-49028: XSS in Zoho ZeptoMail

यह XSS भेद्यता हमलावरों को Zoho ZeptoMail उपयोगकर्ताओं के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। हमलावर फ़िशिंग हमले शुरू कर सकते हैं, उपयोगकर्ता सत्रों को हाईजैक कर सकते हैं, या संवेदनशील जानकारी, जैसे कि ईमेल सामग्री और संपर्क विवरण चुरा सकते हैं। चूंकि यह एक संग्रहीत XSS भेद्यता है, इसलिए स्क्रिप्ट तब तक सक्रिय रहती है जब तक कि वह हटा नहीं दी जाती, जिससे यह लंबे समय तक चलने वाले हमलों के लिए विशेष रूप से खतरनाक हो जाती है। हमलावर इस भेद्यता का उपयोग अन्य सिस्टम तक पहुंचने के लिए भी कर सकते हैं यदि उपयोगकर्ता के पास उन सिस्टम तक पहुंच है।

Organizations utilizing Zoho ZeptoMail, particularly those with sensitive email data or critical business processes reliant on the platform, are at risk. Shared hosting environments where multiple users share the same ZeptoMail instance are especially vulnerable, as an attacker compromising one user's account could potentially gain access to others.

• wordpress / composer / npm:

grep -r 'transmail' /var/www/html/zeptomail/plugins/

• generic web:

curl -I https://your-zeptomail-domain.com/transmail?script=<script>alert(1)</script>

1. 2025-12-31Disclosure

   disclosure

1. आरक्षित2025-05-30
2. प्रकाशित2025-12-31
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

CVE-2025-49028 के प्रभाव को कम करने के लिए, Zoho ZeptoMail को तुरंत संस्करण 3.3.2 में अपडेट करना महत्वपूर्ण है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके XSS हमलों को ब्लॉक करने का प्रयास करें। WAF को उन अनुरोधों को फ़िल्टर करने के लिए कॉन्फ़िगर किया जाना चाहिए जिनमें दुर्भावनापूर्ण स्क्रिप्ट शामिल हैं। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके Zoho ZeptoMail के कॉन्फ़िगरेशन को मजबूत करना महत्वपूर्ण है।

सक्रिय इंस्टॉलेशन

5Kआला

प्लगइन रेटिंग