CVE-2018-6882

CVSS 6.1 MEDIUMEPSS 23.7%● KEVCWE-79

En resumen

Un atacante puede inyectar scripts maliciosos en correos electrónicos utilizando un encabezado Content-Location especialmente preparado en un archivo adjunto. Cuando el usuario visualiza el correo en Zimbra, el script se ejecuta en su navegador, pudiendo robar datos o realizar acciones no autorizadas.

Detalle técnico

Vulnerabilidad XSS en la función ZmMailMsgView.getAttachmentLinkHtml permite que atacantes inyecten JavaScript arbitrario a través del encabezado Content-Location en archivos adjuntos de correo. El ataque requiere interacción del usuario (visualizar el correo) y afecta versiones de Zimbra Collaboration Suite anteriores a 8.7.1 y 8.8.x anteriores a 8.8.7, impactando confidencialidad e integridad de sesiones.

Resumen generado y traducido por IA a partir de la descripción oficial.

Cross-site scripting (XSS) vulnerability in the ZmMailMsgView.getAttachmentLinkHtml function in Zimbra Collaboration Suite (ZCS) before 8.7 Patch 1 and 8.8.x before 8.8.7 might allow remote attackers to inject arbitrary web script or HTML via a Content-Location header in an email attachment.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Productos afectados

n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://bugzilla.zimbra.com/show_bug.cgi?id=108786 http://seclists.org/fulldisclosure/2018/Mar/52 https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.7 https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2018-6882 https://www.securify.nl/advisory/SFY20180101/cross-site-scripting-vulnerability-in-zimbra-collaboration-suite-due-to-the-way-it-handles-attachment-links.html http://www.securityfocus.com/archive/1/541891/100/0/threaded