ГлавнаяБаза уязвимостей БДУ → BDU:2024-08609
7.8высокая

BDU:2024-08609

Уязвимость встроенного веб-клиента GraphQL корпоративной системы управления электронной почтой Zimbra Collaboration Suite (ZCS), позволяющая нарушителю осуществить CSRF-атаку и раскрыть защищаемую информацию
Опубликовано: 2024-10-28
Описание

Уязвимость встроенного веб-клиента GraphQL корпоративной системы управления электронной почтой Zimbra Collaboration Suite (ZCS) связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить CSRF-атаку и раскрыть защищаемую информацию

Затрагиваемое ПО и версии
Zimbra Collaboration Suite (от 10.1.0 до 10.1.2)Zimbra Collaboration Suite (от 10.0.0 до 10.0.10)Zimbra Collaboration Suite (до 9.0.0 Patch 42)
Способ устранения

Использование рекомендаций производителя:
https://blog.zimbra.com/2024/10/new-patch-release-reminders-for-missing-attachments-out-of-office-notifications-traffic-light-protocol-tlp-and-mailto-links/
https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.2
https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.10
https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P42

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://blog.zimbra.com/2024/10/new-patch-release-reminders-for-missing-attachments-out-of-office-notifications-traffic-light-protocol-tlp-and-mailto-links/https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.2https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.10https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P42https://www.zerodayinitiative.com/advisories/ZDI-24-1369/https://blog.zimbra.com/2020/08/zimbra-skillz-using-tags-and-graphql-from-a-zimlet/https://vuldb.com/?id.280187
Проверьте безопасность своего сайта и почты → Полная проверка домена