CVE-2022-24682

CVSS 6.1 MEDIUMEPSS 31.1%● KEVCWE-116

En resumen

Una vulnerabilidad en la función de Calendario de Zimbra permite a atacantes inyectar código JavaScript malicioso a través de HTML en elementos del calendario. Esto puede conducir a acciones no autorizadas en la cuenta del usuario cuando visualiza el contenido afectado.

Detalle técnico

La vulnerabilidad existe en la función de Calendario donde la entrada proporcionada por el usuario en atributos de elementos no se escapa adecuadamente antes de procesarse en el DOM, resultando en inyección de HTML/JavaScript (CWE-116). Un atacante puede crear entradas de calendario maliciosas que contengan payloads JavaScript que se ejecuten en el contexto de la sesión del navegador de la víctima, potencialmente conduciendo al secuestro de sesión o compromiso de la cuenta.

Resumen generado y traducido por IA a partir de la descripción oficial.

An issue was discovered in the Calendar feature in Zimbra Collaboration Suite 8.8.x before 8.8.15 patch 30 (update 1), as exploited in the wild starting in December 2021. An attacker could place HTML containing executable JavaScript inside element attributes. This markup becomes unescaped, causing arbitrary markup to be injected into the document.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Productos afectados

n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://blog.zimbra.com/2022/02/hotfix-available-5-feb-for-zero-day-exploit-vulnerability-in-zimbra-8-8-15/https://wiki.zimbra.com/wiki/Security_Center https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P30 https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-24682 https://www.volexity.com/blog/2022/02/03/operation-emailthief-active-exploitation-of-zero-day-xss-vulnerability-in-zimbra/