Zimbra - CVE-2019-9621

Date de publication :

Un défaut dans le composant ProxyServlet de Zimbra Collaboration permet à un attaquant non authentifié, en exécutant des requêtes spécifiquement forgées, de mener des attaques de type Server-Side Request Forgery (SSRF).

Informations

La faille est activement exploitée : Oui

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Atteinte à la confidentialité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-918: Server-Side Request Forgery (SSRF)

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau
•    Complexité de l'attaque : Faible
•    Privilèges nécessaires pour réaliser l'attaque : Aucun
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Une preuve de concept est disponible en sources ouvertes.

Systèmes ou composants affectés

Zimbra Collaboration

Versions 8.6 (sans le Patch 13) et antérieures
Versions 8.7.x antérieures à 8.7.11 Patch 10
Versions 8.8.x antérieures à 8.8.10 Patch 7
Versions 8.8.11 sans le Patch 3

Solutions ou recommandations

Appliquer le correctif Patch 13 à Zimbra version 8.6, Patch 10 à Zimbra version 8.7.11, Patch 7 à Zimbra version 8.8.10 et Patch 3 à Zimbra version 8.8.11.
Des informations complémentaires sont disponibles dans le bulletin de Zimbra.