PT-2024-8885 · Zimbra · Zimbra Collaboration
Publicado
2024-04-22
·
Atualizado
2024-08-16
·
CVE-2024-33535
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas:
Zimbra Collaboration (ZCS) versões 9.0 a 10.0
Descrição:
O problema envolve a inclusão de arquivos locais sem autenticação (LFI) em uma aplicação web, afetando especificamente o tratamento do parâmetro
packages. Os invasores podem explorar essa falha para incluir arquivos locais arbitrários sem autenticação, o que pode levar ao acesso não autorizado a informações confidenciais. A vulnerabilidade está limitada a arquivos dentro de um diretório específico.Recomendações:
Para as versões 9.0 a 10.0 do Zimbra Collaboration (ZCS), considere desativar o tratamento do parâmetro
packages na aplicação web como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a arquivos confidenciais dentro do diretório específico para minimizar o risco de exploração.Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zimbra Collaboration