Vulnerabilidad de Cross-Site Scripting (XSS) en Zimbra

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a Zimbra, que permitiría a un atacante remoto autenticado realizar ataques de Cross-Site Scripting (XSS) y ejecución de código arbitrario en el sistema afectado. 

La vulnerabilidad identificada como CVE-2023-34192, de severidad “Crítica”, con una puntuación asignada de 9.0. Esta vulnerabilidad del tipo Cross-site Scripting (XSS) se debe a una falla de validación de datos de entradas del usuario en Zimbra. Esto permitiría a un atacante autenticado, a través de una secuencia de comandos especialmente diseñada en la función /h/autoSaveDraft, ejecutar código arbitrario en el sistema afectado. 

El producto afectado es: 

• Zimbra ZCS, versión 8.8.15. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:  

• https://wiki.zimbra.com/wiki/Security_Center#:~:text=for%20mitigation%20steps.-,ZCS%2010.0.2%20Released,-ZCS%2010.0.2%20was 

Referencias: 

• https://inthewild.io/vuln/CVE-2023-34192 
• https://nvd.nist.gov/vuln/detail/CVE-2023-34192 
• https://wiki.zimbra.com/wiki/Security_Center#:~:text=for%20mitigation%20steps.-,ZCS%2010.0.2%20Released,-ZCS%2010.0.2%20was