Zimbra’da aniqlangan XSS zaifligi xakerlarga zararli JavaScript kodini masofadan bajarishga imkon beradi

Zimbra Collaboration Suite (ZCS)’da xakerlarga zararli JavaScript kodini ishga tushirish imkonini beruvchi muhim xavfsizlik kamchiligi topildi.
Ushbu yuqori darajali zaiflik CVE-2024-33533 (https://nvd.nist.gov/vuln/detail/CVE-2024-33533) ko’rinishida aniqlangan Zimbra veb-pochtasining boshqaruv interfeysida topilgan.
Ushbu zaiflikning ta’siri jiddiy, chunki u maxfiy ma’lumotlarga ruxsatsiz kirishga, seansni o’g’irlashga va zararlangan foydalanuvchi seansini to’liq nazorat qilishga olib kelishi mumkin.
CVE-2024-33533 (https://nvd.nist.gov/vuln/detail/CVE-2024-33533) bilan bir qatorda yana ikkita zaiflik aniqlangan:
Ushbu CVE-2024-33536 (https://nvd.nist.gov/vuln/detail/CVE-2024-33536) zaifligi Zimbra Collaboration (ZCS) 9.0 va 10.0 versiyalarida topildi. Ushbu zaiflik tizimga kirgan tajovuzkorga boshqa foydalanuvchining veb-sessiyasi kontekstida ruxsatsiz JavaScript kodini kiritish va ishga tushirish imkonini beruvchi res parametrining yetarlicha tasdiqlanmaganligi bilan bog‘liq.
Ushbu CVE-2024-33535 (https://nvd.nist.gov/vuln/detail/CVE-2024-33535) aniqlangan zaiflik Zimbra Collaboration 9.0 va 10.0 versiyalarida autentifikatsiya qilinmagan mahalliy fayllarni kiritish (LFI (https://kmb.cybber.ru/web/lfi/main.html)) zaifligini o’z ichiga oladi. Bu kamchilik tajovuzkorlarga veb-ilova orqali serverga fayllarni kiritish imkonini beradi, bu esa keyingi ekspluatatsiyaga olib kelishi mumkin.