ГлавнаяБаза уязвимостей БДУ → BDU:2021-04391
10критическая

BDU:2021-04391

Уязвимость компонента mailboxd (Autodiscover/Autodiscover.xml) корпоративной системы управления электронной почтой Zimbra Collaboration Suite, позволяющая нарушителю осуществить XXE-атаку
Опубликовано: 2021-09-07
Описание

Уязвимость компонента mailboxd (Autodiscover/Autodiscover.xml) корпоративной системы управления электронной почтой Zimbra Collaboration Suite связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить XXE-атаку

Затрагиваемое ПО и версии
Zimbra Collaboration Suite (до 8.7.11 Patch10)
Способ устранения

Использование рекомендаций:
https://bugzilla.zimbra.com/show_bug.cgi?id=109129

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://bugzilla.zimbra.com/show_bug.cgi?id=109129http://packetstormsecurity.com/files/152487/Zimbra-Collaboration-Autodiscover-Servlet-XXE-ProxyServlet-SSRF.htmlhttp://www.rapid7.com/db/modules/exploit/linux/http/zimbra_xxe_rcehttps://bugzilla.zimbra.com/show_bug.cgi?id=109129https://isc.sans.edu/forums/diary/CVE20199670+Zimbra+Collaboration+Suite+XXE+vulnerability/27570/https://wiki.zimbra.com/wiki/Zimbra_Security_Advisorieshttps://www.exploit-db.com/exploits/46693/
Проверьте безопасность своего сайта и почты → Полная проверка домена