Podatność umożliwia zdalne wykonanie kodu (RCE) w module Content Search aplikacji Zohocorp ManageEngine Exchange Reporter Plus w wersjach 5721 i wcześniejszych. Krytyczny poziom zagrożenia (CVSS 9.6) oznacza, że skuteczny atak może prowadzić do całkowitego przejęcia kontroli nad systemem.
▸ Pokaż oryginał (EN)
Zohocorp ManageEngine Exchange Reporter Plus versions 5721 and prior are vulnerable to Remote code execution in the Content Search module.
Podatność sklasyfikowana jako CWE-434 (Unrestricted Upload of File with Dangerous Type) wskazuje, że atakujący może przesłać plik niebezpiecznego typu do modułu Content Search bez odpowiedniej walidacji po stronie serwera. Wektor ataku sieciowy (AV:N) bez wymogu uwierzytelnienia (PR:N) oznacza, że exploit może być przeprowadzony zdalnie przez nieuprawnionego użytkownika, przy czym wymagana jest minimalna interakcja po stronie ofiary (UI:R). Zasięg ataku wykracza poza komponent aplikacji (S:C), co sugeruje możliwość wpływu na zasoby poza bezpośrednio podatnym modułem.
Atakujący może uzyskać nieautoryzowane zdalne wykonanie dowolnego kodu na serwerze, co w praktyce oznacza możliwość pełnego przejęcia systemu, kradzieży danych, instalacji złośliwego oprogramowania lub dalszego ruchu lateralnego w sieci.
Należy niezwłocznie zaktualizować ManageEngine Exchange Reporter Plus do wersji wyższej niż 5721. Szczegółowe instrukcje dotyczące patcha dostępne są w oficjalnym biuletynie producenta pod adresem: https://www.manageengine.com/products/exchange-reports/advisory/CVE-2025-3835.html
Zohocorp ManageEngine Exchange Reporter Plus w wersjach 5721 i wcześniejszych.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:HZohocorp Manageengine Exchange Reporter Plus
APPZohocorp5.7< 5.7
Powiązane podatności
An issue was discovered in Zoho ManageEngine Exchange Reporter Plus before build number 5510, AD360 before bui...
Zohocorp ManageEngine Exchange Reporter Plus versions before 5802 are vulnerable to Stored XSS in Distribution...
Zohocorp ManageEngine Exchange Reporter Plus versions before 5802 are vulnerable to Stored XSS in Mails Exchan...
Zohocorp ManageEngine Exchange Reporter Plus versions before 5802 are vulnerable to Stored XSS in Permissions ...
Zohocorp ManageEngine Exchange Reporter Plus versions before 5802 are vulnerable to Stored XSS in Permissions ...