【漏洞预警】Zimbra Collaboration 跨站脚本漏洞(CVE-2022-27926)

admin 2022年4月26日00:21:24评论331 views字数 695阅读2分19秒阅读模式

 01



漏洞描述





Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。
它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。Zimbra的核心产品是Zimbra协作套件(Zimbra Collaboration Suite,简称ZCS)。在电子邮件和日程安排之外,它还提供文档存储和编辑、即时消息以及一个利用获奖技术开发的全功能的管理控制台。ZCS同时也提供移动设备的支持,以及与部署于Windows、Linux或apple操作系统中的桌面程序的同步功能。
Zimbra官方发布消息,称ZimbraCollaboration 存在跨站脚本漏洞。未经身份验证的攻击者可利用端点 URL 接收参数而不对其进行过滤的问题,通过发送恶意的请求参数,导致执行任意 Web 脚本或 HTML。

 02

漏洞危害



网络钓鱼,盗取各类用户的账号。
窃取用户Cookie,获取用户隐私,或者利用用户身份进一步执行操作。劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志等。强制弹出广告页面,刷流量等。


 03

影响范围




Zimbra Collaboration <= 9.0

04

漏洞等级

   

   中危


 05

修复方案


厂商已发布升级修复漏洞,用户请尽快更新至安全版本。
引用链接:
https://wiki.zimbra.com/wiki/Security_Center












END

长按识别二维码,了解更多


【漏洞预警】Zimbra Collaboration 跨站脚本漏洞(CVE-2022-27926)


原文始发于微信公众号(易东安全研究院):【漏洞预警】Zimbra Collaboration 跨站脚本漏洞(CVE-2022-27926)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月26日00:21:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Zimbra Collaboration 跨站脚本漏洞(CVE-2022-27926)http://cn-sec.com/archives/942821.html

发表评论

匿名网友 填写信息