CVE-2022-27926

CVSS 6.1 MEDIUMEPSS 17.3%● KEVCWE-79

En resumen

Un fallo en Zimbra Collaboration 9.0 permite que atacantes inyecten scripts maliciosos en páginas web a través de parámetros de URL, que se ejecutan en los navegadores de los usuarios. Esto puede robar datos sensibles o secuestrar sesiones sin necesidad de autenticación.

Detalle técnico

Vulnerabilidad XSS reflejada en el componente /public/launchNewWindow.jsp explotable mediante parámetros de solicitud no sanitizados. Atacantes no autenticados pueden crear URLs maliciosas para inyectar JavaScript arbitrario que se ejecute en navegadores de víctimas, comprometiendo la integridad de sesión y permitiendo robo de credenciales.

Resumen generado y traducido por IA a partir de la descripción oficial.

A reflected cross-site scripting (XSS) vulnerability in the /public/launchNewWindow.jsp component of Zimbra Collaboration (aka ZCS) 9.0 allows unauthenticated attackers to execute arbitrary web script or HTML via request parameters.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Productos afectados

n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://wiki.zimbra.com/wiki/Security_Center https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P24 https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-27926