Zimbra - CVE-2019-9621
Date de publication :
Un défaut dans le composant ProxyServlet de Zimbra Collaboration permet à un attaquant non authentifié, en exécutant des requêtes spécifiquement forgées, de mener des attaques de type Server-Side Request Forgery (SSRF).
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Non
Atteinte à la confidentialité des données
Exploitation
La vulnérabilité exploitée est du type
CWE-918: Server-Side Request Forgery (SSRF)
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
Zimbra Collaboration
Versions 8.6 (sans le Patch 13) et antérieures
Versions 8.7.x antérieures à 8.7.11 Patch 10
Versions 8.8.x antérieures à 8.8.10 Patch 7
Versions 8.8.11 sans le Patch 3
Solutions ou recommandations
Appliquer le correctif Patch 13 à Zimbra version 8.6, Patch 10 à Zimbra version 8.7.11, Patch 7 à Zimbra version 8.8.10 et Patch 3 à Zimbra version 8.8.11.
Des informations complémentaires sont disponibles dans le bulletin de Zimbra.