PT-2022-4241 · Zimbra · Zimbra Collaboration Suite
Steven Adair
+1
·
Publicado
2022-08-11
·
Atualizado
2025-12-03
·
CVE-2022-37042
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Zimbra Collaboration Suite (ZCS), versões 8.8.15 a 9.0
Descrição
A funcionalidade mboximport no Zimbra Collaboration Suite (ZCS) apresenta uma falha de contorno de autenticação, permitindo que um invasor envie arquivos arbitrários para o sistema sem um authtoken. Isso pode levar à traversal de diretório e à execução remota de código. A falha se deve a uma correção incompleta de uma vulnerabilidade anterior.
Recomendações
Para as versões 8.8.15 a 9.0 do Zimbra Collaboration Suite (ZCS), considere desativar a funcionalidade mboximport até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao módulo mboximport para minimizar o risco de execução remota de código. Evite usar a funcionalidade mboximport em ambientes de produção até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
RCE
Path traversal
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zimbra Collaboration Suite