Vulnérabilité exploitée dans Zimbra

Date de publication :

CVE-2022-27924[Score CVSS v3.1:7.5]

Un défaut de contrôle des données utilisateurs permet à un attaquant distant et non authentifié, en envoyant des requêtes spécialement forgées, d’exécuter du code arbitraire sur le système ou de provoquer un déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire sur le système

    Déni de service

Criticité

    Score CVSS v3.1: 7.5

La faille est activement exploitée

    Oui

Un correctif existe

    Oui

Une mesure de contournement existe

    Non

Les vulnérabilités exploitées sont du type

CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection')

Détails sur l’exploitation

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

    Zimbra Collaboration versions 8.8.15 et 9.0

Solutions ou recommandations

  • Pour Zimbra Collection 9.0.0, appliquer le patch 24.1 (plus d’informations disponibles ici).

  • Pour Zimbra Collection 8.8.15, appliquer le patch 31.1 (plus d’informations disponibles ici).

Liens