CVE-2022-27926

CVSS 6.1 MEDIUMEPSS 17.3%● KEVCWE-79

Em resumo

Uma falha no Zimbra Collaboration 9.0 permite que atacantes injetem scripts maliciosos em páginas web através de parâmetros de URL, que então executam nos navegadores dos usuários. Isso pode roubar dados sensíveis ou sequestrar sessões sem necessidade de login.

Detalhe técnico

Vulnerabilidade XSS refletida no componente /public/launchNewWindow.jsp explorável via parâmetros de requisição não sanitizados. Atacantes não autenticados podem criar URLs maliciosas para injetar JavaScript arbitrário que executa nos navegadores das vítimas, comprometendo integridade de sessão e permitindo roubo de credenciais.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A reflected cross-site scripting (XSS) vulnerability in the /public/launchNewWindow.jsp component of Zimbra Collaboration (aka ZCS) 9.0 allows unauthenticated attackers to execute arbitrary web script or HTML via request parameters.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Produtos afetados

n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://wiki.zimbra.com/wiki/Security_Center https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P24 https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-27926