Stored XSS Kwetsbaarheid
Platform
manageengine
Component
manageengine-exchange-reporter-plus
Opgelost in
5802
CVE-2026-28756 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in ManageEngine Exchange Reporter Plus. Deze kwetsbaarheid stelt een aanvaller in staat om kwaadaardige scripts uit te voeren in de browser van een andere gebruiker. De kwetsbaarheid treedt op in de rapportfunctie 'Permissions based on Distribution Groups' en beïnvloedt versies van Exchange Reporter Plus tussen 0 en 5802. Een patch is beschikbaar in versie 5802.
Impact en Aanvalsscenarios
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan leiden tot het stelen van sessiecookies, waardoor een aanvaller zich kan voordoen als een geauthenticeerde gebruiker. Verder kan een aanvaller kwaadaardige scripts injecteren die de gebruikersinterface manipuleren, gevoelige informatie ophalen of de gebruiker omleiden naar phishing-pagina's. De impact is aanzienlijk, omdat de aanvaller potentieel toegang kan krijgen tot de data en functionaliteit van de Exchange Reporter Plus omgeving met de rechten van de gecompromitteerde gebruiker. Dit kan leiden tot data-exfiltratie, configuratiewijzigingen en verdere compromittering van het netwerk.
Uitbuitingscontext
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2026-04-03. Er zijn momenteel geen publiekelijk beschikbare proof-of-concept exploits bekend, maar de XSS-aard van de kwetsbaarheid maakt het waarschijnlijk dat dergelijke exploits in de toekomst zullen verschijnen. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de potentiële dreiging onderstreept. De CVSS score van 7.3 (HIGH) duidt op een significant risico.
Wie Loopt Risicowordt vertaald…
Organizations utilizing ManageEngine Exchange Reporter Plus for email reporting and analysis are at risk, particularly those relying on the Permissions based on Distribution Groups report. Shared hosting environments where multiple users share the same Exchange Reporter Plus instance are especially vulnerable, as an attacker could potentially compromise the entire environment through a single user's session.
Detectiestappenwordt vertaald…
• manageengine / web:
curl -s -X POST "<exchange_reporter_plus_url>/report/permissions_based_on_distribution_groups?param=<xss_payload>" | grep -i "<xss_payload>"• generic web:
curl -s -X POST "<exchange_reporter_plus_url>/report/permissions_based_on_distribution_groups?param=<xss_payload>" | grep -i "<xss_payload>"Aanvalstijdlijn
- Disclosure
disclosure
Dreigingsinformatie
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Laag — elk geldig gebruikersaccount is voldoende.
- User Interaction
- Vereist — slachtoffer moet een bestand openen, op een link klikken of een pagina bezoeken.
- Scope
- Ongewijzigd — impact beperkt tot het kwetsbare component.
- Confidentiality
- Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
- Integrity
- Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
- Availability
- Geen — geen beschikbaarheidsimpact.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De primaire mitigatie is het upgraden naar versie 5802 van ManageEngine Exchange Reporter Plus, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan om de rapportfunctie 'Permissions based on Distribution Groups' tijdelijk uit te schakelen. Implementeer strikte inputvalidatie en output encoding op alle gebruikersinvoer die wordt gebruikt in de rapporten. Monitor de applicatielogs op verdachte activiteiten, zoals ongebruikelijke script-injectie pogingen. WAF-regels kunnen worden geconfigureerd om XSS-pogingen te detecteren en te blokkeren.
Hoe te verhelpenwordt vertaald…
Actualice ManageEngine Exchange Reporter Plus a la versión 5802 o posterior. Esta actualización corrige la vulnerabilidad XSS almacenada en el informe de Permisos basados en Grupos de Distribución.
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragenwordt vertaald…
What is CVE-2026-28756 — XSS in ManageEngine Exchange Reporter Plus?
CVE-2026-28756 is a stored XSS vulnerability in ManageEngine Exchange Reporter Plus versions before 5802, allowing attackers to inject malicious scripts via the Permissions based on Distribution Groups report.
Am I affected by CVE-2026-28756 in ManageEngine Exchange Reporter Plus?
If you are using ManageEngine Exchange Reporter Plus versions 0–5802, you are potentially affected by this vulnerability. Upgrade to version 5802 to mitigate the risk.
How do I fix CVE-2026-28756 in ManageEngine Exchange Reporter Plus?
The recommended fix is to upgrade ManageEngine Exchange Reporter Plus to version 5802 or later. Consider input validation and WAF rules as temporary mitigations.
Is CVE-2026-28756 being actively exploited?
As of the current assessment, there are no confirmed reports of active exploitation of CVE-2026-28756, but the vulnerability is publicly known and could be targeted.
Where can I find the official ManageEngine advisory for CVE-2026-28756?
Please refer to the official ManageEngine security advisory for detailed information and updates regarding CVE-2026-28756: [https://www.manageengine.com/products/exchange-reporter-plus/security-advisories.html]
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.