Multiples vulnérabilités critiques dans Zimbra

Risques

• Exécution de code arbitraire
• Élévation de privilège
• Contournement de la politique de sécurité
• Injection de code indirect à distance (XSS)

Criticité

• Score CVSS v3.1: 9.8 max (critique)

La faille est activement exploitée

• Non, pour les 2 CVE présentés

Un correctif existe

• Oui, pour les 2 CVE présentés

Une mesure de contournement existe

• Non, pour les 2 CVE présentés

Les vulnérabilités exploitées sont du type

Pour la CVE-2022-2068

•  CWE-78 : Improper Neutralization of Special Elements used in an OS Command

Pour la CVE-2021-43077

•  CWE-89 : Improper Neutralization of Special Elements used in an SQL Command

Détails sur l’exploitation

Pour la CVE-2022-2068

• Vecteur d’attaque : Réseau
• Complexité de l’attaque : Faible
• Privilèges nécessaires pour réaliser l’attaque : Aucun
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui

Pour la CVE-2022-24407

• Vecteur d’attaque : Réseau
• Complexité de l’attaque : Faible
• Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Composants vulnérables.

Ces vulnérabilités affectent Zimbra dans les versions suivantes :

• Zimbra dans ses versions 9.0, antérieures à la version 9.0.0 Patch 26.
• Zimbra dans ses versions 8.8, antérieures à la version 8.8.15 Patch 33.

• Mettre à jour Zimbra avec les correctifs ZCS 9.0.0 26 et ZCS 8.8.15. Des informations complémentaires sont disponibles ici.