Описание
Уязвимость функции autoSaveDraft корпоративной системы управления электронной почтой Zimbra Collaboration Suite (ZCS) связана с непринятием мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки
Вендор
Zimbra Inc.
Наименование ПО
Zimbra Collaboration Suite
Версия ПО
8.8.15 (Zimbra Collaboration Suite)
Тип ПО
Сетевое средство
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
1. Сделать резервную копию файла /opt/zimbra/jetty/webapps/zimbra/m/momoveto.
2. Открыть файл и перейдите к строке номер 40.
3. Изменить значение параметра:
<input name="st" type="hidden" value="${param.st}"/>
на значение:
<input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>
Использование рекомендаций:
https://wiki.zimbra.com/wiki/Security_Center
https://wiki.zimbra.com/wiki/Zimbra_Responsible_Disclosure_Policy
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 100%
0.93918
Критический
8.8 High
CVSS3
9 Critical
CVSS2
Связанные уязвимости
CVSS3: 6.1
nvd
больше 2 лет назад
Zimbra Collaboration (ZCS) 8 before 8.8.15 Patch 41 allows XSS in the Zimbra Classic Web Client.
CVSS3: 6.1
github
больше 2 лет назад
Zimbra Collaboration (ZCS) 8 before 8.8.15 Patch 41 allows XSS in the Zimbra Classic Web Client.
EPSS
Процентиль: 100%
0.93918
Критический
8.8 High
CVSS3
9 Critical
CVSS2