PT-2021-20840 · Zimbra · Zimbra Collaboration Suite
Simon Scannell
·
Publicado
2021-07-02
·
Atualizado
2022-04-06
·
CVE-2021-35208
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
**Nome do software vulnerável e versões afetadas:
Zimbra Collaboration Suite, versões 8.8.x a 8.8.15 Patch 22
Descrição:
Foi detectada uma falha no componente de convites do Calendário, especificamente no arquivo ZmMailMsgView.js. Essa falha permite que um invasor insira código HTML contendo JavaScript executável dentro dos atributos de elementos, o que faz com que o código não seja escapado e resulta na injeção de marcação arbitrária no documento.
Recomendações:
Para as versões 8.8.x a 8.8.15 Patch 22 do Zimbra Collaboration Suite, atualize para a versão 8.8.15 Patch 23 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do componente Calendar Invite até que um patch seja aplicado.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zimbra Collaboration Suite