Уязвимость функции autoSaveDraft корпоративной системы управления электронной почтой Zimbra Collaboration Suite (ZCS) связана с непринятием мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
1. Сделать резервную копию файла /opt/zimbra/jetty/webapps/zimbra/m/momoveto.
2. Открыть файл и перейдите к строке номер 40.
3. Изменить значение параметра:
<input name="st" type="hidden" value="${param.st}"/>
на значение:
<input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>
Использование рекомендаций:
https://wiki.zimbra.com/wiki/Security_Center
https://wiki.zimbra.com/wiki/Zimbra_Responsible_Disclosure_Policy
| Балл | 9 — высокая опасность |