XSS-уязвимость, обнаруженная в Zimbra, может позволить хакерам удаленно выполнять вредоносный код JavaScript.

В Zimbra Collaboration Suite (ZCS) обнаружена критическая уязвимость безопасности, которая может позволить хакерам выполнить вредоносный код JavaScript.
Эта уязвимость высокого уровня была обнаружена в интерфейсе управления веб-почтой Zimbra и обозначена как CVE-2024-33533 (https://nvd.nist.gov/vuln/detail/CVE-2024-33533).
Последствия этой уязвимости серьезны, поскольку она может привести к несанкционированному доступу к конфиденциальной информации, перехвату сеанса и полному контролю над сеансом затронутого пользователя.
Помимо CVE-2024-33533 (https://nvd.nist.gov/vuln/detail/CVE-2024-33533), были выявлены еще две уязвимости:
Эта уязвимость CVE-2024-33536 (https://nvd.nist.gov/vuln/detail/CVE-2024-33536) была обнаружена в Zimbra Collaboration (ZCS) версий 9.0 и 10.0. Уязвимость связана с недостаточной проверкой параметра res, что может позволить злоумышленнику, вошедшему в систему, внедрить и выполнить неавторизованный код JavaScript в контексте веб-сеанса другого пользователя.
Уязвимость, обнаруженная в CVE-2024-33535 (https://nvd.nist.gov/vuln/detail/CVE-2024-33535) в Zimbra Collaboration 9.0 и 10.0, включает в себя внедрение локальных файлов без аутентификации (LFI (https://kmb) .cybber.ru/web/lfi/main.html)) содержит уязвимость. Эта уязвимость может позволить злоумышленникам внедрить файлы на сервер через веб-приложение, что может привести к дальнейшей эксплуатации.