Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données

Systèmes affectés

  • Zimbra Collaboration Suite 8.x

Résumé

[Mise à jour du 26 juillet 2023] Publication du correctif de sécurité par l'éditeur

Le 26 juillet 2023, l'éditeur a publié un correctif de sécurité [1] pour cette vulnérabilité immatriculée CVE-2023-37580. Il est donc fortement recommandé de déployer le correctif P41 pour toutes les versions 8.8.15 du produit Zimbra Collaboration Suite.

Le 13 juillet 2023, Zimbra a publié un avis de sécurité alertant de l'existence d'une vulnérabilité affectant sa solution Collaboration Suite dans la version 8.8.15

Cette vulnérabilité permet à un attaquant de réaliser une injection de code indirecte (XSS) pour porter atteinte à l'intégrité des données et la confidentialité des données. Aucun identifiant CVE ne lui a été attribué au moment de la publication de la présente alerte.

Le CERT-FR rappelle que les versions 8.x antérieures à 8.8.15 ne sont plus supportées. [Mise à jour du 18 juillet 2023] L'éditeur confirme que toutes les versions 8.x sont affectées.

L'éditeur indique que cette vulnérabilité est activement exploitée alors qu'une version corrective n'est pas disponible.

Solution

L'éditeur documente la procédure manuelle à réaliser pour corriger la vulnérabilité. Le CERT-FR recommande très fortement d'appliquer cette procédure sans délai.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation