Vulnérabilité dans Zimbra Collaboration Suite

Risque(s)

- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données

Systèmes affectés

- Zimbra Collaboration Suite 8.x

Résumé

Le 13 juillet, Zimbra a publié un avis de sécurité alertant de l'existence d'une vulnérabilité affectant sa solution Collaboration Suite dans la version 8.8.15

Cette vulnérabilité permet à un attaquant de réaliser une injection de code indirecte (XSS) pour porter atteinte à l'intégrité des données et la confidentialité des données. Aucun identifiant CVE ne lui a été attribué au moment de la publication de la présente alerte.

Le CERT-FR rappelle que les versions 8.x antérieures à 8.8.15 ne sont plus supportées. L'éditeur n'indique pas si ces versions sont affectées.

L'éditeur indique que cette vulnérabilité est activement exploitée alors qu'une version corrective n'est pas disponible.

Solution

L'éditeur documente la procédure manuelle à réaliser pour corriger la vulnérabilité. Le CERT-FR recommande très fortement d'appliquer cette procédure sans délai.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Zimbra du 13 juillet 2023
https://blog.zimbra.com/2023/07/security-update-for-zimbra-collaboration-suite-version-8-8-15/  
- Avis CERT-FR CERTFR-2023-AVI-0546 du 13 juillet
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0546/  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-007/