CERTFR-2023-ALE-007_Vulnérabilité dans Zimbra Collaboration Suite

ALERTE CERT

CERT-FR

Publié le 17 juillet 2023 à 12h00 - Mis à jour le 5 mars 2025 à 14h50

Référence

CERT-FR-2023-ALE-007

Risque(s)

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données

Systèmes affectés

Zimbra Collaboration Suite 8.x

Résumé

Le 13 juillet, Zimbra a publié un avis de sécurité alertant de l'existence d'une vulnérabilité affectant sa solution Collaboration Suite dans la version 8.8.15

Cette vulnérabilité permet à un attaquant de réaliser une injection de code indirecte (XSS) pour porter atteinte à l'intégrité des données et la confidentialité des données. Aucun identifiant CVE ne lui a été attribué au moment de la publication de la présente alerte.

Le CERT-FR rappelle que les versions 8.x antérieures à 8.8.15 ne sont plus supportées. L'éditeur n'indique pas si ces versions sont affectées.

L'éditeur indique que cette vulnérabilité est activement exploitée alors qu'une version corrective n'est pas disponible.

Solution

L'éditeur documente la procédure manuelle à réaliser pour corriger la vulnérabilité. Le CERT-FR recommande très fortement d'appliquer cette procédure sans délai.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Zimbra du 13 juillet 2023 : https://blog.zimbra.com/2023/07/security-update-for-zimbra-collaboration-suite-version-8-8-15/
Avis CERT-FR CERTFR-2023-AVI-0546 du 13 juillet : https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0546/

Dernière version de ce document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-007/