Platform
manageengine
Component
manageengine-exchange-reporter-plus
Opgelost in
5802
CVE-2026-28756 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in ManageEngine Exchange Reporter Plus. Deze kwetsbaarheid stelt een aanvaller in staat om kwaadaardige scripts uit te voeren in de browser van een andere gebruiker. De kwetsbaarheid treedt op in de rapportfunctie 'Permissions based on Distribution Groups' en beïnvloedt versies van Exchange Reporter Plus tussen 0 en 5802. Een patch is beschikbaar in versie 5802.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan leiden tot het stelen van sessiecookies, waardoor een aanvaller zich kan voordoen als een geauthenticeerde gebruiker. Verder kan een aanvaller kwaadaardige scripts injecteren die de gebruikersinterface manipuleren, gevoelige informatie ophalen of de gebruiker omleiden naar phishing-pagina's. De impact is aanzienlijk, omdat de aanvaller potentieel toegang kan krijgen tot de data en functionaliteit van de Exchange Reporter Plus omgeving met de rechten van de gecompromitteerde gebruiker. Dit kan leiden tot data-exfiltratie, configuratiewijzigingen en verdere compromittering van het netwerk.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2026-04-03. Er zijn momenteel geen publiekelijk beschikbare proof-of-concept exploits bekend, maar de XSS-aard van de kwetsbaarheid maakt het waarschijnlijk dat dergelijke exploits in de toekomst zullen verschijnen. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de potentiële dreiging onderstreept. De CVSS score van 7.3 (HIGH) duidt op een significant risico.
Organizations utilizing ManageEngine Exchange Reporter Plus for email reporting and analysis are at risk, particularly those relying on the Permissions based on Distribution Groups report. Shared hosting environments where multiple users share the same Exchange Reporter Plus instance are especially vulnerable, as an attacker could potentially compromise the entire environment through a single user's session.
• manageengine / web:
curl -s -X POST "<exchange_reporter_plus_url>/report/permissions_based_on_distribution_groups?param=<xss_payload>" | grep -i "<xss_payload>"• generic web:
curl -s -X POST "<exchange_reporter_plus_url>/report/permissions_based_on_distribution_groups?param=<xss_payload>" | grep -i "<xss_payload>"disclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 5802 van ManageEngine Exchange Reporter Plus, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan om de rapportfunctie 'Permissions based on Distribution Groups' tijdelijk uit te schakelen. Implementeer strikte inputvalidatie en output encoding op alle gebruikersinvoer die wordt gebruikt in de rapporten. Monitor de applicatielogs op verdachte activiteiten, zoals ongebruikelijke script-injectie pogingen. WAF-regels kunnen worden geconfigureerd om XSS-pogingen te detecteren en te blokkeren.
Actualice ManageEngine Exchange Reporter Plus a la versión 5802 o posterior. Esta actualización corrige la vulnerabilidad XSS almacenada en el informe de Permisos basados en Grupos de Distribución.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-28756 is a stored XSS vulnerability in ManageEngine Exchange Reporter Plus versions before 5802, allowing attackers to inject malicious scripts via the Permissions based on Distribution Groups report.
If you are using ManageEngine Exchange Reporter Plus versions 0–5802, you are potentially affected by this vulnerability. Upgrade to version 5802 to mitigate the risk.
The recommended fix is to upgrade ManageEngine Exchange Reporter Plus to version 5802 or later. Consider input validation and WAF rules as temporary mitigations.
As of the current assessment, there are no confirmed reports of active exploitation of CVE-2026-28756, but the vulnerability is publicly known and could be targeted.
Please refer to the official ManageEngine security advisory for detailed information and updates regarding CVE-2026-28756: [https://www.manageengine.com/products/exchange-reporter-plus/security-advisories.html]
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.