Plataforma
manageengine
Componente
manageengine-exchange-reporter-plus
Corrigido em
5802
Uma vulnerabilidade de XSS armazenada (Stored XSS) foi descoberta no ManageEngine Exchange Reporter Plus, afetando versões anteriores à 5802. Essa falha permite que atacantes injetem scripts maliciosos através de relatórios de permissões baseados em grupos de distribuição, potencialmente comprometendo a integridade e a confidencialidade dos dados. A vulnerabilidade foi publicada em 03 de abril de 2026 e a correção está disponível na versão 5802.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute scripts JavaScript arbitrários no navegador de um usuário que acessa o relatório comprometido. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à execução de ações em nome do usuário afetado. O impacto pode ser significativo, especialmente em ambientes onde o Exchange Reporter Plus é usado para gerar relatórios confidenciais ou para monitorar o acesso a dados sensíveis. A natureza armazenada da vulnerabilidade significa que o ataque pode persistir, afetando múltiplos usuários que visualizam o relatório comprometido.
A vulnerabilidade foi divulgada publicamente em 03 de abril de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A probabilidade de exploração é considerada média, dada a facilidade de exploração de vulnerabilidades XSS e a disponibilidade pública da informação.
Organizations utilizing ManageEngine Exchange Reporter Plus for email reporting and analysis are at risk, particularly those relying on the Permissions based on Distribution Groups report. Shared hosting environments where multiple users share the same Exchange Reporter Plus instance are especially vulnerable, as an attacker could potentially compromise the entire environment through a single user's session.
• manageengine / web:
curl -s -X POST "<exchange_reporter_plus_url>/report/permissions_based_on_distribution_groups?param=<xss_payload>" | grep -i "<xss_payload>"• generic web:
curl -s -X POST "<exchange_reporter_plus_url>/report/permissions_based_on_distribution_groups?param=<xss_payload>" | grep -i "<xss_payload>"disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o ManageEngine Exchange Reporter Plus para a versão 5802 ou superior, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como restringir o acesso aos relatórios de permissões baseados em grupos de distribuição apenas a usuários autorizados. Monitore os logs do Exchange Reporter Plus em busca de atividades suspeitas, como tentativas de injeção de código. Após a atualização, confirme a correção verificando se os relatórios de permissões não permitem mais a injeção de scripts.
Actualice ManageEngine Exchange Reporter Plus a la versión 5802 o posterior. Esta actualización corrige la vulnerabilidad XSS almacenada en el informe de Permisos basados en Grupos de Distribución.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-28756 is a stored XSS vulnerability in ManageEngine Exchange Reporter Plus versions before 5802, allowing attackers to inject malicious scripts via the Permissions based on Distribution Groups report.
If you are using ManageEngine Exchange Reporter Plus versions 0–5802, you are potentially affected by this vulnerability. Upgrade to version 5802 to mitigate the risk.
The recommended fix is to upgrade ManageEngine Exchange Reporter Plus to version 5802 or later. Consider input validation and WAF rules as temporary mitigations.
As of the current assessment, there are no confirmed reports of active exploitation of CVE-2026-28756, but the vulnerability is publicly known and could be targeted.
Please refer to the official ManageEngine security advisory for detailed information and updates regarding CVE-2026-28756: [https://www.manageengine.com/products/exchange-reporter-plus/security-advisories.html]
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.