PT-2024-5816 · Zimbra · Zimbra Collaboration
CVE-2024-33533
·
Publicado
2024-08-12
·
Atualizado
2024-08-19
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Zimbra Collaboration (ZCS) versões 9.0 a 10.0
Descrição
Foi identificada uma vulnerabilidade de cross-site scripting (XSS) refletido na interface de administração do webmail do Zimbra. Essa vulnerabilidade ocorre devido à validação inadequada da entrada do parâmetro
packages, permitindo que um invasor autenticado injete e execute código JavaScript arbitrário no contexto da sessão do navegador de outro usuário. Ao enviar um arquivo JavaScript malicioso e criar uma URL contendo sua localização no parâmetro packages, o invasor pode explorar essa vulnerabilidade. Posteriormente, quando outro usuário visita a URL criada, o código JavaScript malicioso é executado.Recomendações
Para as versões 9.0 a 10.0 do Zimbra Collaboration (ZCS), considere desativar o parâmetro
packages vulnerável na interface de administração do webmail como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à interface de administração do webmail para minimizar o risco de exploração. Evite usar o parâmetro packages no endpoint da API afetado até que o problema seja resolvido. Atualize para a versão 10.0.8 ou posterior, pois ela inclui correções de segurança para as vulnerabilidades identificadas.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zimbra Collaboration