Se ha reportado un aviso de seguridad sobre una vulnerabilidad Zero Day que afecta a Zimbra 8.8.15, que permitiría a un atacante obtener información confidencial del usuario y poner en peligro la integridad de los datos del sistema afectado.
Esta vulnerabilidad Zero Day del tipo Cross-site Scripting (XSS) se debe a una falla de validación de entradas del usuario en Zimbra Collaboration. Esto permitiría a un atacante no autenticado a través de peticiones HTTP especialmente diseñadas, obtener información confidencial del usuario o ejecutar códigos JavaScript maliciosos en el navegador de las víctimas que visiten el sitio web afectado.
Software afectado:
- Zimbra Collaboration (ZCS), versión 8.8.15.
Información adicional:
- https://www.cert.gov.py/wp-content/uploads/2023/07/BOL-CERT-PY-2023-32-Vulnerabilidad-XSS-en-Zimbra-Collaboration-Suite-Version-8.8.15.pdf
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/0day-cross-site-scripting-en-zimbra-collaboration-suite
- https://blog.zimbra.com/2023/07/security-update-for-zimbra-collaboration-suite-version-8-8-15/?hss_channel=tw-6561812