CRITICAL✓ PATCH🇬🇧 English

CVE-2025-3835

RCE w module Content Search aplikacji ManageEngine Exchange Reporter Plus

CVSS 9.6v3.1pub. 2025-06-09upd. 2025-09-29

Podatność umożliwia zdalne wykonanie kodu (RCE) w module Content Search aplikacji Zohocorp ManageEngine Exchange Reporter Plus w wersjach 5721 i wcześniejszych. Krytyczny poziom zagrożenia (CVSS 9.6) oznacza, że skuteczny atak może prowadzić do całkowitego przejęcia kontroli nad systemem.

Pokaż oryginał (EN)

Zohocorp ManageEngine Exchange Reporter Plus versions 5721 and prior are vulnerable to Remote code execution in the Content Search module.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-434 (Unrestricted Upload of File with Dangerous Type) wskazuje, że atakujący może przesłać plik niebezpiecznego typu do modułu Content Search bez odpowiedniej walidacji po stronie serwera. Wektor ataku sieciowy (AV:N) bez wymogu uwierzytelnienia (PR:N) oznacza, że exploit może być przeprowadzony zdalnie przez nieuprawnionego użytkownika, przy czym wymagana jest minimalna interakcja po stronie ofiary (UI:R). Zasięg ataku wykracza poza komponent aplikacji (S:C), co sugeruje możliwość wpływu na zasoby poza bezpośrednio podatnym modułem.

Skutki

Atakujący może uzyskać nieautoryzowane zdalne wykonanie dowolnego kodu na serwerze, co w praktyce oznacza możliwość pełnego przejęcia systemu, kradzieży danych, instalacji złośliwego oprogramowania lub dalszego ruchu lateralnego w sieci.

Mitygacja

Należy niezwłocznie zaktualizować ManageEngine Exchange Reporter Plus do wersji wyższej niż 5721. Szczegółowe instrukcje dotyczące patcha dostępne są w oficjalnym biuletynie producenta pod adresem: https://www.manageengine.com/products/exchange-reports/advisory/CVE-2025-3835.html

Kogo dotyczy

Zohocorp ManageEngine Exchange Reporter Plus w wersjach 5721 i wcześniejszych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Zohocorp Manageengine Exchange Reporter Plus

    APP
    Zohocorp
    5.7< 5.7
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2020-24786CRITICAL9.8ten sam produkt

An issue was discovered in Zoho ManageEngine Exchange Reporter Plus before build number 5510, AD360 before bui...

CVE-2026-28754HIGH7.3ten sam produkt

Zohocorp ManageEngine Exchange Reporter Plus versions before 5802 are vulnerable to Stored XSS in Distribution...

CVE-2026-28703HIGH7.3ten sam produkt

Zohocorp ManageEngine Exchange Reporter Plus versions before 5802 are vulnerable to Stored XSS in Mails Exchan...

CVE-2026-27655HIGH7.3ten sam produkt

Zohocorp ManageEngine Exchange Reporter Plus versions before 5802 are vulnerable to Stored XSS in Permissions ...

CVE-2026-28756HIGH7.3ten sam produkt

Zohocorp ManageEngine Exchange Reporter Plus versions before 5802 are vulnerable to Stored XSS in Permissions ...