CVE-2018-6882
CVE-2018-6882
Em resumo
Um atacante pode injetar scripts maliciosos em emails usando um cabeçalho Content-Location especialmente preparado em um anexo. Quando o usuário visualiza o email no Zimbra, o script é executado no navegador, podendo roubar dados ou realizar ações não autorizadas.
Detalhe técnico
Vulnerabilidade XSS na função ZmMailMsgView.getAttachmentLinkHtml permite que atacantes injetem JavaScript arbitrário via cabeçalho Content-Location em anexos de email. O ataque requer interação do usuário (visualizar o email) e afeta Zimbra Collaboration Suite versões anteriores a 8.7.1 e 8.8.x anteriores a 8.8.7, impactando confidencialidade e integridade de sessões.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Cross-site scripting (XSS) vulnerability in the ZmMailMsgView.getAttachmentLinkHtml function in Zimbra Collaboration Suite (ZCS) before 8.7 Patch 1 and 8.8.x before 8.8.7 might allow remote attackers to inject arbitrary web script or HTML via a Content-Location header in an email attachment.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://bugzilla.zimbra.com/show_bug.cgi?id=108786http://seclists.org/fulldisclosure/2018/Mar/52https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.7https://wiki.zimbra.com/wiki/Zimbra_Security_Advisorieshttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2018-6882https://www.securify.nl/advisory/SFY20180101/cross-site-scripting-vulnerability-in-zimbra-collaboration-suite-due-to-the-way-it-handles-attachment-links.htmlhttp://www.securityfocus.com/archive/1/541891/100/0/threaded