Multiples vulnérabilités critiques dans Zimbra

Risques

Exécution de code arbitraire

Élévation de privilège

Contournement de la politique de sécurité

Injection de code indirect à distance (XSS)

Criticité

Score CVSS v3.1: 9.8 max (critique)

La faille est activement exploitée

Non, pour les 2 CVE présentés

Un correctif existe

Oui, pour les 2 CVE présentés

Une mesure de contournement existe

Non, pour les 2 CVE présentés

Les vulnérabilités exploitées sont du type

Pour la CVE-2022-2068

 CWE-78 : Improper Neutralization of Special Elements used in an OS Command

Pour la CVE-2021-43077

 CWE-89 : Improper Neutralization of Special Elements used in an SQL Command

Détails sur l’exploitation

Pour la CVE-2022-2068

Vecteur d’attaque : Réseau

Complexité de l’attaque : Faible

Privilèges nécessaires pour réaliser l’attaque : Aucun

Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non

L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui

Pour la CVE-2022-24407

Vecteur d’attaque : Réseau

Complexité de l’attaque : Faible

Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple

Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non

L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Composants vulnérables.

Ces vulnérabilités affectent Zimbra dans les versions suivantes :

Zimbra dans ses versions 9.0, antérieures à la version 9.0.0 Patch 26.

Zimbra dans ses versions 8.8, antérieures à la version 8.8.15 Patch 33.

La vulnérabilité CVE-2022-2068 affecte IBM Db2 REST dans les versions suivantes :

IBM Db2 REST versions comprises entre 1.0.0.121-amd64 et 1.0.0.301-amd64 (incluse)

• Mettre à jour Zimbra avec les correctifs ZCS 9.0.0 26 et ZCS 8.8.15. Des informations complémentaires sont disponibles ici.
• Mettre à jour IBM Db2 REST vers la version 1.0.0.304-amd64 ou ultérieure. Des informations complémentaires sont disponible dans le bulletin d'IBM.