Vulnérabilité exploitée dans Zimbra

Date de publication :

CVE-2022-27924[Score CVSS v3.1:7.5]
Un défaut de contrôle des données utilisateurs permet à un attaquant distant et non authentifié, en envoyant des requêtes spécialement forgées, d’exécuter du code arbitraire sur le système ou de provoquer un déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire sur le système
  • Déni de service

Criticité

  • Score CVSS v3.1: 7.5

La faille est activement exploitée

  • Oui

Un correctif existe

  • Oui

Une mesure de contournement existe

  • Non

Les vulnérabilités exploitées sont du type

CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection')

Détails sur l’exploitation

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

  • Zimbra Collaboration versions 8.8.15 et 9.0

Solutions ou recommandations

  • Pour Zimbra Collection 9.0.0, appliquer le patch 24.1 (plus d’informations disponibles ici).

  • Pour Zimbra Collection 8.8.15, appliquer le patch 31.1 (plus d’informations disponibles ici).

Liens