Thomas Lancaster

**Nome do software vulnerável e versões afetadas** Zimbra Collaboration Suite (ZCS), versões 8.8.15 a 9.0 **Descrição** A funcionalidade mboximport no Zimbra Collaboration Suite (ZCS) apresenta uma falha de contorno de autenticação, permitindo que um invasor envie arquivos arbitrários para o sistema sem um authtoken. Isso pode levar à traversal de diretório e à execução remota de código. A falha se deve a uma correção incompleta de uma vulnerabilidade anterior. **Recomendações** Para as versões 8.8.15 a 9.0 do Zimbra Collaboration Suite (ZCS), considere desativar a funcionalidade mboximport até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao módulo mboximport para minimizar o risco de execução remota de código. Evite usar a funcionalidade mboximport em ambientes de produção até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Zimbra Collaboration Suite, versões 8.8.x a 8.8.15, patch 29 **Descrição** Foi descoberta uma vulnerabilidade no recurso Calendário, permitindo que um invasor insira HTML contendo JavaScript executável dentro de atributos de elementos. Essa marcação não é escapada, fazendo com que marcações arbitrárias sejam injetadas no documento. A vulnerabilidade vem sendo explorada em ambiente real desde dezembro de 2021. **Recomendações** Para as versões 8.8.x a 8.8.15 patch 29 do Zimbra Collaboration Suite, atualize para a versão 8.8.15 patch 30 (atualização 1) para resolver a falha. Como solução alternativa temporária, considere restringir o acesso ao recurso Calendário até que um patch esteja disponível. Evite usar o recurso Calendário com entradas não confiáveis até que a falha seja resolvida.