CERTFR-2023-ALE-007 : Vulnérabilité dans Zimbra Collaboration Suite (17 juillet 2023)
Publié le 17 juillet 2023 07:29
Risque(s)
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
Systèmes affectés
- Zimbra Collaboration Suite 8.x
Résumé
Le 13 juillet, Zimbra a publié un avis de sécurité alertant de l'existence d'une vulnérabilité affectant sa solution Collaboration Suite dans la version 8.8.15
Cette vulnérabilité permet à un attaquant de réaliser une injection de code indirecte (XSS) pour porter atteinte à l'intégrité des données et la confidentialité des données. Aucun identifiant CVE ne lui a été attribué au moment de la publication de la présente alerte.
Le CERT-FR rappelle que les versions 8.x antérieures à 8.8.15 ne sont plus supportées. L'éditeur n'indique pas si ces versions sont affectées.
L'éditeur indique que cette vulnérabilité est activement exploitée alors qu'une version corrective n'est pas disponible.
Solution
L'éditeur documente la procédure manuelle à réaliser pour corriger la vulnérabilité. Le CERT-FR recommande très fortement d'appliquer cette procédure sans délai.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation