Critical Zimbra Flaw Could Let Crafted Emails Run Malicious Code in User Sessions

plus petit que 1 minute de lecture

Mis à jour :

Vulnérabilité critique de type XSS dans Zimbra Classic Web Client

Zimbra a publié une mise à jour corrective pour une faille de sécurité critique affectant le client Web classique. Cette vulnérabilité permet à un attaquant d’exécuter du code malveillant à l’insu de l’utilisateur lors de l’ouverture d’un e-mail spécifiquement conçu.

Points clés :

  • La faille repose sur une attaque de type Cross-Site Scripting (XSS) stocké.
  • L’exploitation réussie donne accès aux données de la boîte aux lettres, aux informations de session et aux paramètres du compte utilisateur.
  • Bien qu’aucune preuve d’exploitation active ne soit mentionnée, les vulnérabilités XSS dans Zimbra sont régulièrement ciblées par des groupes malveillants.

Vulnérabilités :

  • Identifiant : Non encore assigné (Faille XSS stockée dans le Classic Web Client).

Recommandations :

  • Appliquer immédiatement la mise à jour vers la version Zimbra Collaboration Suite 10.1.19 pour pallier ce risque et sécuriser les sessions utilisateur.

Source