Laburpen exekutiboa
Zimbra Collaboration (ZCS) 9.0 eta 10.0 bertsioetan, ertain-mailako kalteberatasun bat (CVSS 6.1) identifikatu da, aktiboki ustiatua. XSS (Cross Site Scripting) motako kalteberatasun hau Zimbrako web-postako interfaz klasikoan dago, CalendarInvite funtzioan, eta egutegiaren goiburuaren kudeaketan sarrerako datuak behar bezala balioztatzen ez direlako sortzen da. Hutsune honek erasotzaile bati aukera ematen dio JavaScript kode arbitrarioa exekutatzeko, egutegiko goiburuak posta-mezu batean manipulatuz. Kalteberatasun hori ustiatuz gero, biktimaren saioaren testuinguruan baimenik gabeko ekintzak burutu daitezke mezuaren bistaratzean zehar. Gomendagarria da kalteberatasun hau arintzeko beharrezko neurriak planifikatzea eta ezartzea.
Eragindako baliabideak
- Zimbra Collaboration Suite (ZCS) 9.0 eta 10.0 bertsioak
Azterketa teknikoa
- CVE-2024-27443: Arazo bat aurkitu da Zimbra Collaboration (ZCS) 9.0 eta 10.0 bertsioetan. Cross site scripting (XSS) motako kalteberatasun bat dago Zimbraren web posta interfaze klasikoko CalendarInvite funtzioan, egutegiaren goiburuaren kudeaketan sarrera balioztapen okerra dagoelako. Erasotzaile batek mezu elektroniko baten bidez ustiatu dezake kalteberatasun hau, XSS payload bat duen egutegi goiburu manipulatua bidalita. Biktimak mezu hori Zimbraren web posta interfaze klasikoan ikusten duenean, payload-a biktimaren saioaren testuinguruan exekutatzen da, JavaScript kode arbitrarioa exekutatzeko aukera emanez.
- CWE-79
- CVSS: 6.1 (ertaina)
- CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
- Explotazioa: Antzemanda
Arintzea/Konponbidea
Fabrikatzaileak gomendatzen du mitigazioak aplikatzea Zimbra Collaboration Suite (ZCS) produkturako saltzailearen jarraibideen arabera. Halaber, hodeiko zerbitzuetarako BOD 22-01 gida aplikagarria jarraitzea aholkatzen da. Mitigazioak eskuragarri ez badaude, produktuaren erabilera etetea gomendatzen da.