Zimbra · Zimbra · CVE-2020-10194
**Nome do software vulnerável e versões afetadas**
Versões do Zimbra zm-mailbox anteriores à 8.8.15.p8
**Descrição**
A falha permite que usuários autenticados solicitem qualquer conta GAL, o que difere do comportamento esperado, em que o domínio do usuário autenticado deve corresponder ao domínio da conta galsync na solicitação. Isso se deve a um problema no arquivo cs/service/account/AutoCompleteGal.java.
**Recomendações**
Para versões anteriores à 8.8.15.p8, atualize para a versão 8.8.15.p8 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de solicitação de conta GAL para minimizar o risco de exploração.