Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
Systèmes affectés
- Zimbra Collaboration Suite 8.x
Résumé
[Mise à jour du 26 juillet 2023]
Publication du correctif de sécurité par l'éditeur
Le 26 juillet 2023, l'éditeur a publié un correctif de sécurité [1] pour cette vulnérabilité immatriculée CVE-2023-37580. Il est donc fortement recommandé de déployer le correctif P41 pour toutes les versions 8.8.15 du produit Zimbra Collaboration Suite.
Le 13 juillet 2023, Zimbra a publié un avis de sécurité alertant de l'existence d'une vulnérabilité affectant sa solution Collaboration Suite dans la version 8.8.15
Cette vulnérabilité permet à un attaquant de réaliser une injection de code indirecte (XSS) pour porter atteinte à l'intégrité des données et la confidentialité des données. Aucun identifiant CVE ne lui a été attribué au moment de la publication de la présente alerte.
Le CERT-FR rappelle que les versions 8.x antérieures à 8.8.15 ne sont plus supportées. [Mise à jour du 18 juillet 2023] L'éditeur confirme que toutes les versions 8.x sont affectées.
L'éditeur indique que cette vulnérabilité est activement exploitée alors qu'une version corrective n'est pas disponible.
Solution
L'éditeur documente la procédure manuelle à réaliser pour corriger la vulnérabilité. Le CERT-FR recommande très fortement d'appliquer cette procédure sans délai.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Zimbra du 13 juillet 2023 https://blog.zimbra.com/2023/07/security-update-for-zimbra-collaboration-suite-version-8-8-15/
- [1] Avis de sécurité Zimbra 8.8.15 P41 du 26 juillet 2023 https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P41
- Avis CERT-FR CERTFR-2023-AVI-0546 du 13 juillet https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0546/
- Référence CVE CVE-2023-37580 https://www.cve.org/CVERecord?id=CVE-2023-37580
