Vulnérabilité XSS permanente sur Zimbradécouverte par Certilience
Une vulnérabilité dans le webmail Zimbra, découverte par notre auditeur Sammy Forgit,
vient d’être corrigée et crédité à Certilience.
Titre
[CVE-2017-7288] Vulnérabilité XSS permanente sur Zimbra
Risque
- atteinte à la confidentialité des données
- injection de code indirecte à distance
Systèmes affectés
Zimbra inférieur à ZCS 8.7.1
Description
Un attaquant peut provoquer un cross site scripting permanent au niveau de la solution Zimbra afin d’exécuter du code javascript dans le contexte de la personne consultant le site web.
Une erreur de vérification au niveau de l’éditeur HTML permet à un utilisateur mal intentionné d’envoyer un mail ou un document contenant du code javascript malveillant.
L’ utilisateur qui consulterait ensuite ce document exécuterait à son insu du code javascript dans le contexte du site web consulté.
Solution
Mise à jour en version ZCS 8.7.1
Historique
2016-09-08 : Découverte de la vulnérabilité
2016-09-09 : Communication à zimbra de la vulnérabilité
2016-10-27 : Mise à disposition du correctif
2017-03-28 : Publication de la vulnérabilité par Certilience
Références
- CVE-2017-7288
- https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
- CVSS Score : 4.3
Crédits
- Sammy Forgit – Certilience (https://www.certilience.fr)