← volver
CVE-2024-27443

CVE-2024-27443

CVSS 6.1 MEDIUMEPSS 19.7%● KEVCWE-79
En resumen

Una falla en la función de calendario de Zimbra Collaboration permite a los atacantes inyectar código malicioso en mensajes de correo. Cuando la víctima abre estos correos en el webmail, el código se ejecuta en su navegador, pudiendo comprometer su cuenta.

Detalle técnico

Vulnerabilidad de Cross-Site Scripting (XSS) en la función CalendarInvite de Zimbra ZCS 9.0 y 10.0, debido a validación insuficiente de entrada en el encabezado del calendario. El vector de ataque es basado en correo electrónico; el atacante crea un encabezado de calendario con payload XSS que se ejecuta en el contexto de la sesión de la víctima al visualizarse en la interfaz webmail clásica, permitiendo ejecución de JavaScript arbitrario.

Resumen generado y traducido por IA a partir de la descripción oficial.
An issue was discovered in Zimbra Collaboration (ZCS) 9.0 and 10.0. A Cross-Site Scripting (XSS) vulnerability exists in the CalendarInvite feature of the Zimbra webmail classic user interface, because of improper input validation in the handling of the calendar header. An attacker can exploit this via an email message containing a crafted calendar header with an embedded XSS payload. When a victim views this message in the Zimbra webmail classic interface, the payload is executed in the context of the victim's session, potentially leading to execution of arbitrary JavaScript code.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Productos afectados
n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.7#Security_Fixeshttps://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P39#Security_Fixeshttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-27443https://www.welivesecurity.com/en/eset-research/operation-roundpress/