Risques
- Contournement de la politique de sécurité
- Injection de code indirecte à distance (XSS)
- Non spécifié par l'éditeur
Systèmes affectés
- Zimbra Collaboration (Daffodil) versions 10.0.x antérieures à 10.0.1
- Zimbra Collaboration (Joule) 8.8.15 sans le correctif de sécurité Patch 40 GA
- Zimbra Collaboration (Kepler) 9.0.0 sans le correctif de sécurité Patch 33 GA
Résumé
De multiples vulnérabilités ont été découvertes dans Zimbra. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, un contournement de la politique de sécurité et une injection de code indirecte à distance (XSS).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Zimbra 10.0.1 du 30 mai 2023 https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.1
- Bulletin de sécurité Zimbra 8.8.15 P40 du 30 mai 2023 https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P40
- Bulletin de sécurité Zimbra 9.0.0 P33 du 30 mai 2023 https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P33
- Référence CVE CVE-2022-22970 https://www.cve.org/CVERecord?id=CVE-2022-22970
- Référence CVE CVE-2022-46364 https://www.cve.org/CVERecord?id=CVE-2022-46364
- Référence CVE CVE-2023-25690 https://www.cve.org/CVERecord?id=CVE-2023-25690
- Référence CVE CVE-2023-29381 https://www.cve.org/CVERecord?id=CVE-2023-29381
- Référence CVE CVE-2023-29382 https://www.cve.org/CVERecord?id=CVE-2023-29382
- Référence CVE CVE-2023-34192 https://www.cve.org/CVERecord?id=CVE-2023-34192
- Référence CVE CVE-2023-34193 https://www.cve.org/CVERecord?id=CVE-2023-34193
