Vulnérabilité dans le serveur de messagerie Zimbra

CVE-2021-35209[Score CVSS v3.1 : 9.8]

Une vulnérabilité a été découverte dans le proxy Servlet du serveur de messagerie Zimbra. Un attaquant authentifié et distant peut exploiter cette vulnérabilité pour effectuer une attaque SSRF (Server-Side Request Foregery). C’est-à-dire que l’attaquant peut interagir avec le serveur, et en extraire des données sensibles via des requêtes forgées. L’exploitation se traduit par un détournement du client http de Zimbra via une requête forgée vers une URL arbitraire.

 

CVE-2021-34807 [Score CVSS v3 : 6.1]

Une vulnérabilité de redirection ouverte a été corrigée. Elle est due à un manque de vérification des données utilisateur dans la classe Java chargée de la pré-authentification dans Zimbra. Son exploitation peut permettre à un attaquant distant et non authentifié de rediriger un utilisateur non averti à son insu vers une page internet malveillante. 

 

CVE-2021-35208 [Score CVSS v3 : 5.4]

Une vulnérabilité de type cross site scripting (XSS) persistant a été corrigée au sein du programme ZmMailMsgView.java dans Zimbra. Son exploitation peut permettre à un attaquant distant et non authentifié d’exécuter de code arbitraire ou d’obtenir des informations sensibles.

 

CVE-2021-35207 [Score CVSS v3 : 6.1]

Une vulnérabilité de type cross site scripting (XSS) a été corrigée au sein du client web de Zimbra. Son exploitation peut permettre à un attaquant distant et non authentifié d’exécuter de code arbitraire ou d’obtenir des informations sensibles.