CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2024-45519

RCE w usłudze postjournal Zimbra Collaboration Suite — command injection bez uwierzytelnienia

CVSS 10.0v3.1pub. 2024-10-02upd. 2025-11-04

Krytyczna podatność w usłudze postjournal systemu Zimbra Collaboration (ZCS) umożliwia nieuwierzytelnionym atakującym zdalne wykonanie dowolnych poleceń systemowych. Podatność uzyskała maksymalny wynik CVSS 10.0 i jest aktywnie wykorzystywana w środowiskach produkcyjnych.

Pokaż oryginał (EN)

The postjournal service in Zimbra Collaboration (ZCS) before 8.8.15 Patch 46, 9 before 9.0.0 Patch 41, 10 before 10.0.9, and 10.1 before 10.1.1 sometimes allows unauthenticated users to execute commands.

🤖 Analiza AI
Jak działa

Usługa postjournal w Zimbra Collaboration Suite zawiera podatność typu command injection (CWE-78), która w określonych warunkach pozwala nieuwierzytelnionym użytkownikom na wykonanie poleceń systemowych na serwerze. Atakujący może przesłać specjalnie spreparowane żądanie do usługi postjournal bez konieczności posiadania jakichkolwiek danych uwierzytelniających. Ze względu na brak uwierzytelnienia i sieciową dostępność usługi, podatność jest wyjątkowo łatwa do wykorzystania.

Skutki

Atakujący może przejąć pełną kontrolę nad serwerem, wykonując dowolne polecenia systemowe z uprawnieniami usługi Zimbra, co prowadzi do kompromitacji poufności, integralności i dostępności systemu oraz potencjalnie wszystkich przechowywanych danych pocztowych.

Mitygacja

Należy natychmiast zaktualizować Zimbra Collaboration Suite do jednej z następujących wersji zawierających poprawki bezpieczeństwa: 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9 lub 10.1.1. Szczegółowe informacje dostępne są w oficjalnym centrum bezpieczeństwa Zimbra oraz w notach wydania poszczególnych wersji.

Kogo dotyczy

Synacor Zimbra Collaboration Suite (ZCS) w wersjach: przed 8.8.15 Patch 46, 9.x przed 9.0.0 Patch 41, 10.x przed 10.0.9 oraz 10.1.x przed 10.1.1

Uwagi

Podatność znajduje się na liście CISA KEV, co potwierdza jej aktywne wykorzystywanie w środowiskach produkcyjnych. Maksymalny wynik CVSS 10.0 oraz wektor ataku sieciowego bez wymagania uwierzytelnienia lub interakcji użytkownika czynią tę podatność wyjątkowo niebezpieczną dla każdej organizacji eksploatującej Zimbra Collaboration Suite.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Synacor Zimbra Collaboration Suite

    APP
    Synacor
    10.1.08.8.159.0.0< 8.8.1510.0.0 – 10.0.9 (bez)

CISA KEV — szczegółyi

Dostawcai
Synacor
Produkti
Zimbra Collaboration Suite (ZCS)
Data dodania do KEVi
3 października 2024
Termin remediation (USA)i
24 października 2024(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami dostawcy lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Synacor Zimbra Collaboration Suite (ZCS) zawiera niezidentyfikowaną lukę w usłudze postjournal, która może pozwolić użytkownikowi bez uwierzytelnienia na wykonanie poleceń.

tłumaczenie AI
Pokaż oryginał (EN)

Synacor Zimbra Collaboration Suite (ZCS) contains an unspecified vulnerability in the postjournal service that may allow an unauthenticated user to execute commands.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 24 października 2024
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2023-34192CRITICAL9.0⚠ KEVten sam produkt

Cross Site Scripting vulnerability in Zimbra ZCS v.8.8.15 allows a remote authenticated attacker to execute ar...

CVE-2022-41352CRITICAL9.8⚠ KEVten sam produkt

An issue was discovered in Zimbra Collaboration (ZCS) 8.8.15 and 9.0. An attacker can upload arbitrary files t...

CVE-2022-37042CRITICAL9.8⚠ KEVten sam produkt

Zimbra Collaboration Suite (ZCS) 8.8.15 and 9.0 has mboximport functionality that receives a ZIP archive and e...

CVE-2020-7796CRITICAL9.8⚠ KEVten sam produkt

Zimbra Collaboration Suite (ZCS) before 8.8.15 Patch 7 allows SSRF when WebEx zimlet is installed and zimlet J...

CVE-2019-9670CRITICAL9.8⚠ KEVten sam produkt

mailboxd component in Synacor Zimbra Collaboration Suite 8.7.x before 8.7.11p10 has an XML External Entity inj...