CVE-2025-34409 in MailEnableinfo

Zusammenfassung

von VulDB • 22.05.2026

MailEnable-Versionen vor 10.54 enthalten eine reflektierte Cross-Site-Scripting-(XSS)-Schwachstelle im Parameter „Failed“ von /Mondo/lang/sys/Forms/MAI/AddRecipientsResult.aspx. Der Wert von „Failed“ wird bei der Verarbeitung über eine GET-Anfrage nicht ordnungsgemäß bereinigt und in der Antwort reflektiert, was es einem Angreifer ermöglicht, aus dem vorhandenen Markup auszubrechen und beliebigen Code einzufügen. Ein entfernter Angreifer kann ein speziell angefertigtes Payload bereitstellen, das ein vorhandenes HTML-Listenelement schließt, vom Angreifer gesteuerten JavaScript-Code einfügt und den verbleibenden Code auskommentiert, was zur Ausführung von Skripten im Browser des Opfers führt, wenn dieses einen bösartigen Link besucht. Eine erfolgreiche Ausnutzung kann Opfer zu bösartigen Websites umleiten, nicht HttpOnly-Cookies stehlen, beliebiges HTML oder CSS einfügen und Aktionen als der authentifizierte Benutzer durchführen.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

VulnCheck

Reservieren

15.04.2025

Veröffentlichung

09.12.2025

Moderieren

akzeptiert

Eintrag

VDB-335492

CPE

bereit

EPSS

0.00014

KEV

nein

Aktivitäten

very low

Sektor

Finance, Hostingprovider, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2025-34409
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2025-34409
CVE Detailshttps://www.cvedetails.com/cve/CVE-2025-34409/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!