Critical Zimbra Flaw Could Let Crafted Emails Run Malicious Code in User Sessions
Mis à jour :
Vulnérabilité critique de type XSS dans Zimbra Classic Web Client
Zimbra a publié une mise à jour corrective pour une faille de sécurité critique affectant le client Web classique. Cette vulnérabilité permet à un attaquant d’exécuter du code malveillant à l’insu de l’utilisateur lors de l’ouverture d’un e-mail spécifiquement conçu.
Points clés :
- La faille repose sur une attaque de type Cross-Site Scripting (XSS) stocké.
- L’exploitation réussie donne accès aux données de la boîte aux lettres, aux informations de session et aux paramètres du compte utilisateur.
- Bien qu’aucune preuve d’exploitation active ne soit mentionnée, les vulnérabilités XSS dans Zimbra sont régulièrement ciblées par des groupes malveillants.
Vulnérabilités :
- Identifiant : Non encore assigné (Faille XSS stockée dans le Classic Web Client).
Recommandations :
- Appliquer immédiatement la mise à jour vers la version Zimbra Collaboration Suite 10.1.19 pour pallier ce risque et sécuriser les sessions utilisateur.
