Katalog CVE

Aktywnie wykorzystywana w atakach

Synacor Zimbra Collaboration Suite (ZCS) Cross-Site Scripting (XSS) Vulnerability

Synacor — Zimbra Collaboration Suite (ZCS) · Figuruje w katalogu CISA KEV od 2025-02-25. Oznacza to potwierdzone ataki w środowisku produkcyjnym.

Wymagane działanie: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

CVE-2023-34192

KrytyczneCVSS 9.0KEV
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Bardzo wysokie ryzyko
77.27%

Percentyl 100 — wyżej niż 100% wszystkich znanych CVE

Streszczenie

Podatność typu Cross Site Scripting w Zimbra ZCS w wersji 8.8.15 umożliwia zdalnemu uwierzytelnionemu atakującemu wykonanie dowolnego kodu za pomocą spreparowanego skryptu w funkcji /h/autoSaveDraft.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do przejęcia kontroli nad systemem lub kradzieży danych użytkowników, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację Zimbra ZCS do najnowszej wersji, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa aplikacji.

Oryginalny opis (angielski, źródło NVD)

Cross Site Scripting vulnerability in Zimbra ZCS v.8.8.15 allows a remote authenticated attacker to execute arbitrary code via a crafted script to the /h/autoSaveDraft function.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS