01
漏洞描述
Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。Zimbra的核心产品是Zimbra协作套件(Zimbra Collaboration Suite,简称ZCS)。在电子邮件和日程安排之外,它还提供文档存储和编辑、即时消息以及一个利用获奖技术开发的全功能的管理控制台。ZCS同时也提供移动设备的支持,以及与部署于Windows、Linux或apple操作系统中的桌面程序的同步功能。
Zimbra官方发布消息,称ZimbraCollaboration 存在跨站脚本漏洞。未经身份验证的攻击者可利用端点 URL 接收参数而不对其进行过滤的问题,通过发送恶意的请求参数,导致执行任意 Web 脚本或 HTML。
02
漏洞危害
网络钓鱼,盗取各类用户的账号。窃取用户Cookie,获取用户隐私,或者利用用户身份进一步执行操作。劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志等。强制弹出广告页面,刷流量等。
03
影响范围
Zimbra Collaboration <= 9.0
04
漏洞等级
中危
05
修复方案
厂商已发布升级修复漏洞,用户请尽快更新至安全版本。
引用链接:
https://wiki.zimbra.com/wiki/Security_Center
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】Zimbra Collaboration 跨站脚本漏洞(CVE-2022-27926)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论