PT-2024-13613 · Zimbra · Zimbra Collaboration
Nguyễn Khắc Huy
·
Publicado
2024-02-13
·
Atualizado
2025-03-25
·
CVE-2023-48432
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Zimbra Collaboration (ZCS), versões 8.8.15 a 10.0
Descrição
Foi descoberta uma vulnerabilidade no Zimbra Collaboration, na qual pode ocorrer um ataque XSS, resultando em roubo de sessão, por meio de código JavaScript em um link dentro de uma mensagem de e-mail. Isso ocorre quando a vítima clica no link dentro do webmail do Zimbra, visando especificamente um ponto de redirecionamento do webmail.
Recomendações
Para as versões 8.8.15, 9.0 e 10.0, considere desativar a execução de JavaScript para links em mensagens de e-mail como uma solução temporária até que um patch esteja disponível. Restrinja o acesso aos pontos finais de redirecionamento do webmail para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zimbra Collaboration