PT-2022-21212 · Zimbra · Zimbra Collaboration Open Source
Robert-Scheck
·
Publicado
2022-07-11
·
Atualizado
2024-08-03
·
CVE-2022-32294
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Zimbra Collaboration Open Source versão 8.8.15
Descrição
O problema diz respeito à falta de criptografia da senha criada aleatoriamente para o login inicial, que é gerada pelo comando
zmprove ca. Essa senha fica visível em texto simples na porta UDP 514, também conhecida como porta syslog. Um terceiro informou que esse problema não pode ser reproduzido.Recomendações
Para o Zimbra Collaboration Open Source versão 8.8.15, considere restringir o acesso à porta syslog (UDP 514) para minimizar o risco de exposição da senha até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o comando
zmprove ca até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zimbra Collaboration Open Source