CVE-2021-34807

**Nome do software vulnerável e versões afetadas:

Versões do Zimbra Collaboration Suite anteriores à 9.0

Descrição:

Existe uma vulnerabilidade de redirecionamento aberto no Servlet /preauth. Para explorar essa vulnerabilidade, um invasor precisa de um token de autenticação ou pré-autenticação válido do Zimbra. Com o token, um invasor pode redirecionar um usuário para qualquer URL usando o parâmetro “isredirect=1&redirectURL=” em conjunto com os dados do token, como um valor válido de “authtoken=”.

Recomendações:

Para versões do Zimbra Collaboration Suite anteriores à 9.0, atualize para a versão 9.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao Servlet /preauth para minimizar o risco de exploração. Evite usar o parâmetro “isredirect=1&redirectURL=” no endpoint da API afetado até que o problema seja resolvido.