CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2022-37042

CVSS 9.8v3.1pub. 2022-08-12upd. 2025-11-04

Zimbra Collaboration Suite (ZCS) 8.8.15 and 9.0 has mboximport functionality that receives a ZIP archive and extracts files from it. By bypassing authentication (i.e., not having an authtoken), an attacker can upload arbitrary files to the system, leading to directory traversal and remote code execution. NOTE: this issue exists because of an incomplete fix for CVE-2022-27925.

oryginał EN
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Synacor Zimbra Collaboration Suite

    APP
    Synacor
    8.8.159.0.0

CISA KEV — szczegółyi

Dostawcai
Synacor
Produkti
Zimbra Collaboration Suite (ZCS)
Data dodania do KEVi
11 sierpnia 2022
Termin remediation (USA)i
1 września 2022(po terminie)
Ransomwarei
Aktywne kampanie ransomware używają tej podatności
Wymagana akcja (CISA)i

Zastosuj aktualizacje zgodnie z instrukcjami producenta.

tłumaczenie AI
Pokaż oryginał (EN)

Apply updates per vendor instructions.

Opis CISAi

Synacor Zimbra Collaboration Suite (ZCS) zawiera lukę uwierzytelniania w MailboxImportServlet. Ta luka została połączona z CVE-2022-27925, co umożliwia unauthenticated RCE.

tłumaczenie AI
Pokaż oryginał (EN)

Synacor Zimbra Collaboration Suite (ZCS) contains an authentication bypass vulnerability in MailboxImportServlet. This vulnerability was chained with CVE-2022-27925 which allows for unauthenticated remote code execution.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
☠️WYKORZYSTYWANE W RANSOMWARECISA DEADLINE: 1 września 2022
Tagi
RCEPath Traversal
CWE
Referencje

Powiązane podatności

CVE-2024-45519CRITICAL10.0⚠ KEVPL ✓ten sam produkt

RCE w usłudze postjournal Zimbra Collaboration Suite — command injection bez uwierzytelnienia

CVE-2023-34192CRITICAL9.0⚠ KEVten sam produkt

Cross Site Scripting vulnerability in Zimbra ZCS v.8.8.15 allows a remote authenticated attacker to execute ar...

CVE-2022-41352CRITICAL9.8⚠ KEVten sam produkt

An issue was discovered in Zimbra Collaboration (ZCS) 8.8.15 and 9.0. An attacker can upload arbitrary files t...

CVE-2020-7796CRITICAL9.8⚠ KEVten sam produkt

Zimbra Collaboration Suite (ZCS) before 8.8.15 Patch 7 allows SSRF when WebEx zimlet is installed and zimlet J...

CVE-2019-9670CRITICAL9.8⚠ KEVten sam produkt

mailboxd component in Synacor Zimbra Collaboration Suite 8.7.x before 8.7.11p10 has an XML External Entity inj...