AVIS CERTFR - 2023 - AVI - 0418

Objet : Multiples vulnérabilités dans Zimbra

Référence : CERTFR-2023-AVI-0418

Risque(s)

- Non spécifié par l'éditeur
- Contournement de la politique de sécurité
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- Zimbra Collaboration (Daffodil) versions 10.0.x antérieures à 10.0.1
- Zimbra Collaboration (Kepler) 9.0.0 sans le correctif de sécurité Patch 33 GA
- Zimbra Collaboration (Joule) 8.8.15 sans le correctif de sécurité Patch 40 GA

Résumé

De multiples vulnérabilités ont été découvertes dans Zimbra. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, un contournement de la politique de sécurité et une injection de code indirecte à distance (XSS).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Zimbra 10.0.1 du 30 mai 2023

https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.1

- Bulletin de sécurité Zimbra 9.0.0 P33 du 30 mai 2023

https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P33

- Bulletin de sécurité Zimbra 8.8.15 P40 du 30 mai 2023

https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P40

- Référence CVE CVE-2023-34193

https://www.cve.org/CVERecord?id=CVE-2023-34193

- Référence CVE CVE-2023-29381

https://www.cve.org/CVERecord?id=CVE-2023-29381

- Référence CVE CVE-2023-34192

https://www.cve.org/CVERecord?id=CVE-2023-34192

- Référence CVE CVE-2023-25690

https://www.cve.org/CVERecord?id=CVE-2023-25690

- Référence CVE CVE-2023-29382

https://www.cve.org/CVERecord?id=CVE-2023-29382

- Référence CVE CVE-2022-46364

https://www.cve.org/CVERecord?id=CVE-2022-46364

- Référence CVE CVE-2022-22970

https://www.cve.org/CVERecord?id=CVE-2022-22970

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0418/