📄 Description (English)
Zohocorp ManageEngine Exchange Reporter Plus versions before 5802 are vulnerable to Stored XSS in Folder Message Count and Size report.
🤖 AI Executive Summary
ManageEngine Exchange Reporter Plus versions before 5802 contain a Stored XSS vulnerability in the Folder Message Count and Size report functionality. This allows authenticated attackers to inject malicious scripts that persist in the application and execute in the browsers of other users accessing the affected reports. With a CVSS score of 7.3, this poses a significant risk to organizations managing Microsoft Exchange environments, particularly those in Saudi Arabia's banking and government sectors.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: May 6, 2026 01:16
🇸🇦 Saudi Arabia Impact Assessment
This vulnerability poses significant risk to Saudi organizations managing Exchange environments: (1) Banking sector (SAMA-regulated institutions) — potential compromise of financial reporting systems and unauthorized access to sensitive banking communications; (2) Government agencies (NCA oversight) — risk to internal communications and administrative systems; (3) Telecommunications (STC, Mobily) — exposure of internal messaging infrastructure; (4) Healthcare institutions — compromise of patient communication systems; (5) Energy sector (ARAMCO, SEC) — risk to operational reporting systems. The stored nature of the XSS means persistent compromise affecting multiple users accessing reports.
🏢 Affected Saudi Sectors
Banking and Financial Services
Government and Public Administration
Telecommunications
Healthcare
Energy and Utilities
Education
Large Enterprises with Exchange Infrastructure
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
7.8
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:
1. Identify all ManageEngine Exchange Reporter Plus installations running versions before 5802
2. Restrict access to the Folder Message Count and Size report functionality to trusted administrators only
3. Review audit logs for suspicious report modifications or unusual script injection patterns
4. Implement Web Application Firewall (WAF) rules to detect and block XSS payloads in report parameters
Patching Guidance:
1. Upgrade to ManageEngine Exchange Reporter Plus version 5802 or later immediately when available
2. Contact Zoho support for patch availability timeline and interim security updates
3. Test patches in non-production environments before deployment
Compensating Controls:
1. Implement Content Security Policy (CSP) headers to restrict script execution
2. Enable browser-based XSS protection and disable inline script execution
3. Conduct input validation on all report parameters and sanitize output
4. Implement strict role-based access control limiting report creation/modification to authorized personnel
5. Monitor for suspicious JavaScript execution in application logs
6. Deploy endpoint detection and response (EDR) solutions to detect malicious script execution
Detection Rules:
1. Monitor for script tags (<script>) or event handlers (onclick, onerror) in report names and folder parameters
2. Alert on unusual modifications to Folder Message Count and Size reports
3. Track user access patterns to reports and correlate with subsequent malicious activities
4. Implement SIEM rules to detect XSS payloads: javascript:, data:text/html, <iframe>, <svg onload>
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع تثبيتات ManageEngine Exchange Reporter Plus التي تعمل بإصدارات سابقة للإصدار 5802
2. تقييد الوصول إلى وظيفة تقرير عدد الرسائل وحجم المجلد للمسؤولين الموثوقين فقط
3. مراجعة سجلات التدقيق للتعديلات المريبة على التقارير أو أنماط حقن النصوص البرمجية غير العادية
4. تنفيذ قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن حمولات XSS وحجبها
إرشادات التصحيح:
1. الترقية إلى ManageEngine Exchange Reporter Plus الإصدار 5802 أو أحدث فوراً عند توفره
2. الاتصال بدعم Zoho للحصول على جدول زمني لتوفر التصحيح والتحديثات الأمنية المؤقتة
3. اختبار التصحيحات في بيئات غير الإنتاج قبل النشر
الضوابط البديلة:
1. تنفيذ رؤوس سياسة أمان المحتوى (CSP) لتقييد تنفيذ النصوص البرمجية
2. تفعيل حماية XSS المستندة إلى المتصفح وتعطيل تنفيذ النصوص البرمجية المضمنة
3. تنفيذ التحقق من صحة الإدخال على جميع معاملات التقرير وتنظيف الإخراج
4. تنفيذ التحكم في الوصول القائم على الأدوار بشكل صارم يقصر إنشاء/تعديل التقارير على الموظفين المصرح لهم
5. مراقبة تنفيذ JavaScript المريب في سجلات التطبيق
6. نشر حلول الكشف والاستجابة للنقاط الطرفية (EDR) للكشف عن تنفيذ النصوص البرمجية الضارة
قواعد الكشف:
1. مراقبة علامات النصوص البرمجية (<script>) أو معالجات الأحداث (onclick, onerror) في أسماء التقارير ومعاملات المجلد
2. التنبيه على التعديلات غير العادية على تقارير عدد الرسائل وحجم المجلد
3. تتبع أنماط وصول المستخدم إلى التقارير والربط مع الأنشطة الضارة اللاحقة
4. تنفيذ قواعد SIEM للكشف عن حمولات XSS: javascript:, data:text/html, <iframe>, <svg onload>
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Information security requirements for supplier relationships
ECC 2024 A.14.2.5 - Addressing information security in supplier agreements
ECC 2024 A.5.23 - Web application security controls
ECC 2024 A.6.14 - Secure development and change management
🔵 SAMA CSF
SAMA CSF 1.1 - Governance and Risk Management
SAMA CSF 2.2 - Information and Communications Technology (ICT) Security
SAMA CSF 2.2.1 - Access Control and Authentication
SAMA CSF 2.2.4 - Data Protection and Privacy
🟡 ISO 27001:2022
ISO 27001:2022 A.5.15 - Access control
ISO 27001:2022 A.5.23 - Information security for supplier relationships
ISO 27001:2022 A.8.22 - Monitoring activities
ISO 27001:2022 A.8.24 - Protection against malware
🟣 PCI DSS v4.0.1
PCI DSS 6.5.1 - Injection flaws prevention
PCI DSS 6.5.7 - Cross-site scripting (XSS) prevention
PCI DSS 11.3 - Penetration testing and vulnerability scanning
📦 Affected Products / CPE 4 entries
zohocorp:manageengine_exchange_reporter_plus
zohocorp:manageengine_exchange_reporter_plus:5.8
zohocorp:manageengine_exchange_reporter_plus:5.8
zohocorp:manageengine_exchange_reporter_plus:5.8