PT-2024-5816 · Zimbra · Zimbra Collaboration

CVE-2024-33533

·

Publicado

2024-08-12

·

Atualizado

2024-08-19

CVSS v2.0

5.5

Média

VetorAV:N/AC:L/Au:S/C:P/I:P/A:N
Nome do software vulnerável e versões afetadas
Zimbra Collaboration (ZCS) versões 9.0 a 10.0
Descrição
Foi identificada uma vulnerabilidade de cross-site scripting (XSS) refletido na interface de administração do webmail do Zimbra. Essa vulnerabilidade ocorre devido à validação inadequada da entrada do parâmetro packages, permitindo que um invasor autenticado injete e execute código JavaScript arbitrário no contexto da sessão do navegador de outro usuário. Ao enviar um arquivo JavaScript malicioso e criar uma URL contendo sua localização no parâmetro packages, o invasor pode explorar essa vulnerabilidade. Posteriormente, quando outro usuário visita a URL criada, o código JavaScript malicioso é executado.
Recomendações
Para as versões 9.0 a 10.0 do Zimbra Collaboration (ZCS), considere desativar o parâmetro packages vulnerável na interface de administração do webmail como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à interface de administração do webmail para minimizar o risco de exploração. Evite usar o parâmetro packages no endpoint da API afetado até que o problema seja resolvido. Atualize para a versão 10.0.8 ou posterior, pois ela inclui correções de segurança para as vulnerabilidades identificadas.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BDU:2024-06561
CVE-2024-33533

Produtos afetados

Zimbra Collaboration