CRITICAL🇬🇧 English

CVE-2025-44148

XSS umożliwiający RCE w MailEnable przed wersją 10

CVSS 9.8v3.1pub. 2025-06-03upd. 2026-07-05

Podatność typu Cross Site Scripting (XSS) w MailEnable przed wersją 10 pozwala zdalnemu atakującemu na wykonanie dowolnego kodu. Wysoki wynik CVSS 9.8 oraz brak wymagań uwierzytelnienia czynią tę podatność szczególnie niebezpieczną.

Pokaż oryginał (EN)

Cross Site Scripting (XSS) vulnerability in MailEnable before v10 allows a remote attacker to execute arbitrary code via the failure.aspx component

🤖 Analiza AI
Jak działa

Atakujący wykorzystuje podatny komponent failure.aspx, do którego możliwe jest przesłanie złośliwego payload'u bez uwierzytelnienia i bez interakcji użytkownika po stronie serwera. Wstrzyknięty kod XSS jest następnie wykonywany w kontekście aplikacji, co według opisu może prowadzić do wykonania arbitralnego kodu (RCE). Atak jest możliwy zdalnie przez sieć, bez szczególnych uprawnień ani złożonych warunków.

Skutki

Atakujący może wykonać dowolny kod w kontekście aplikacji lub przeglądarki ofiary, co potencjalnie prowadzi do przejęcia kontroli nad systemem, kradzieży danych lub dalszego lateral movement w sieci.

Mitygacja

Należy zaktualizować MailEnable do wersji 10 lub nowszej zgodnie z informacjami producenta dostępnymi pod adresem mailenable.com

Kogo dotyczy

MailEnable we wszystkich wersjach przed wersją 10

Uwagi

Publiczny kod proof-of-concept jest dostępny w repozytorium GitHub pod adresem https://github.com/barisbaydur/CVE-2025-44148, co zwiększa ryzyko aktywnego wykorzystania podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mailenable

    APP
    Mailenable
    < 10.00
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEXSS
CWE
Referencje

Powiązane podatności

CVE-2019-12924CRITICAL9.8ten sam produkt

MailEnable Enterprise Premium 10.23 was vulnerable to XML External Entity Injection (XXE) attacks that could b...

CVE-2015-9277CRITICAL9.1ten sam produkt

MailEnable before 8.60 allows Directory Traversal for reading the messages of other users, uploading files, an...

CVE-2015-9278CRITICAL9.8ten sam produkt

MailEnable before 8.60 allows Privilege Escalation because admin accounts could be created as a consequence of...

CVE-2015-9280CRITICAL10.0ten sam produkt

MailEnable before 8.60 allows XXE via an XML document in the request.aspx Options parameter.

CVE-2026-44400HIGH8.7ten sam produkt

MailEnable Enterprise Premium 10.55 and earlier contains an improper authorization vulnerability in the WebAdm...

CVE-2025-44148 — XSS umożliwiający RCE w MailEnable przed wersją 10 — CRITICAL 9.8 | CVEbaza.pl