Krytyczna podatność w usłudze postjournal systemu Zimbra Collaboration (ZCS) umożliwia nieuwierzytelnionym atakującym zdalne wykonanie dowolnych poleceń systemowych. Podatność uzyskała maksymalny wynik CVSS 10.0 i jest aktywnie wykorzystywana w środowiskach produkcyjnych.
▸ Pokaż oryginał (EN)
The postjournal service in Zimbra Collaboration (ZCS) before 8.8.15 Patch 46, 9 before 9.0.0 Patch 41, 10 before 10.0.9, and 10.1 before 10.1.1 sometimes allows unauthenticated users to execute commands.
Usługa postjournal w Zimbra Collaboration Suite zawiera podatność typu command injection (CWE-78), która w określonych warunkach pozwala nieuwierzytelnionym użytkownikom na wykonanie poleceń systemowych na serwerze. Atakujący może przesłać specjalnie spreparowane żądanie do usługi postjournal bez konieczności posiadania jakichkolwiek danych uwierzytelniających. Ze względu na brak uwierzytelnienia i sieciową dostępność usługi, podatność jest wyjątkowo łatwa do wykorzystania.
Atakujący może przejąć pełną kontrolę nad serwerem, wykonując dowolne polecenia systemowe z uprawnieniami usługi Zimbra, co prowadzi do kompromitacji poufności, integralności i dostępności systemu oraz potencjalnie wszystkich przechowywanych danych pocztowych.
Należy natychmiast zaktualizować Zimbra Collaboration Suite do jednej z następujących wersji zawierających poprawki bezpieczeństwa: 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9 lub 10.1.1. Szczegółowe informacje dostępne są w oficjalnym centrum bezpieczeństwa Zimbra oraz w notach wydania poszczególnych wersji.
Synacor Zimbra Collaboration Suite (ZCS) w wersjach: przed 8.8.15 Patch 46, 9.x przed 9.0.0 Patch 41, 10.x przed 10.0.9 oraz 10.1.x przed 10.1.1
Podatność znajduje się na liście CISA KEV, co potwierdza jej aktywne wykorzystywanie w środowiskach produkcyjnych. Maksymalny wynik CVSS 10.0 oraz wektor ataku sieciowego bez wymagania uwierzytelnienia lub interakcji użytkownika czynią tę podatność wyjątkowo niebezpieczną dla każdej organizacji eksploatującej Zimbra Collaboration Suite.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HSynacor Zimbra Collaboration Suite
APPSynacor10.1.08.8.159.0.0< 8.8.1510.0.0 – 10.0.9 (bez)
CISA KEV — szczegółyi
- Dostawcai
- Synacor
- Produkti
- Zimbra Collaboration Suite (ZCS)
- Data dodania do KEVi
- 3 października 2024
- Termin remediation (USA)i
- 24 października 2024(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami dostawcy lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
Synacor Zimbra Collaboration Suite (ZCS) zawiera niezidentyfikowaną lukę w usłudze postjournal, która może pozwolić użytkownikowi bez uwierzytelnienia na wykonanie poleceń.
▸ Pokaż oryginał (EN)
Synacor Zimbra Collaboration Suite (ZCS) contains an unspecified vulnerability in the postjournal service that may allow an unauthenticated user to execute commands.
Powiązane podatności
Cross Site Scripting vulnerability in Zimbra ZCS v.8.8.15 allows a remote authenticated attacker to execute ar...
An issue was discovered in Zimbra Collaboration (ZCS) 8.8.15 and 9.0. An attacker can upload arbitrary files t...
Zimbra Collaboration Suite (ZCS) 8.8.15 and 9.0 has mboximport functionality that receives a ZIP archive and e...
Zimbra Collaboration Suite (ZCS) before 8.8.15 Patch 7 allows SSRF when WebEx zimlet is installed and zimlet J...
mailboxd component in Synacor Zimbra Collaboration Suite 8.7.x before 8.7.11p10 has an XML External Entity inj...