Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05422

Опубликовано: 30 мар. 2022
Источник: fstec
CVSS3: 6.1
CVSS2: 4.3
EPSS Высокий

Описание

Уязвимость компонента Calendar корпоративной системы управления электронной почтой Zimbra Collaboration Suite существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, внедрить произвольную разметку в документ

Вендор

Zimbra Inc.

Наименование ПО

Zimbra Collaboration Suite

Версия ПО

от 8.8.0 до 8.8.15 patch 30 (update 1) (Zimbra Collaboration Suite)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://blog.zimbra.com/2022/02/hotfix-available-5-feb-for-zero-day-exploit-vulnerability-in-zimbra-8-8-15/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.86588
Высокий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-24682

CVSS3: 6.1
nvd
почти 4 года назад

An issue was discovered in the Calendar feature in Zimbra Collaboration Suite 8.8.x before 8.8.15 patch 30 (update 1), as exploited in the wild starting in December 2021. An attacker could place HTML containing executable JavaScript inside element attributes. This markup becomes unescaped, causing arbitrary markup to be injected into the document.

github логотип

GHSA-fh88-2p7h-7g9h

CVSS3: 6.1
github
почти 4 года назад

An issue was discovered in the Calendar feature in Zimbra Collaboration Suite 8.8.x before 8.8.15 patch 30 (update 1), as exploited in the wild starting in December 2021. An attacker could place HTML containing executable JavaScript inside element attributes. This markup becomes unescaped, causing arbitrary markup to be injected into the document.

EPSS

Процентиль: 99%
0.86588
Высокий

6.1 Medium

CVSS3

4.3 Medium

CVSS2