MULTIPLES VULNÉRABILITÉS CRITIQUES DANS ZIMBRA

  • Post author:
  • Post category:Publications

Origine: bjCSIRT

Numéro: 2022/ALERTE/027

Date de l’alerte: 03/08/2022

APERÇU :

Les vulnérabilités CVE-2022-2068, CVE-2022-24407 respectivement classées Critique et Elevé ont été trouvées dans la suite de logiciels de collaboration Zimbra. Leur exploitation peut entrainer de graves problèmes de sécurité.

DESCRIPTION :

Zimbra est une suite de logiciels de collaboration dont l’infrastructure de base est constituée d’un serveur de messagerie et d’un client web. Deux versions de Zimbra sont disponibles : une version open-source, et une commerciale comprenant des logiciels propriétaires tels que « Exchanges Web Services ». Plusieurs vulnérabilités ont été découvertes dans Zimbra dont CVE-2022-2068 et CVE-2022-24407.

CVE-2022-2068 : est une vulnérabilité dont l’impact est jugé Critique (score CVSS 9.8) et a pour cause un mauvais nettoyage des données entrantes par le script « c_rehash ». A travers ce défaut, un attaquant est capable d’exécuter du code arbitraire sur le système avec des paramètres élevés (XSS) du script. Aucun privilège utilisateur n’est nécessaire pour réaliser cette attaque.

CVE-2022-24407 : est une vulnérabilité dont l’impact est jugé Elevé (score CVSS 8.8) dû à une mauvaise sécurisation des données entrantes dans le paquet « Cyrus SASL » de Zimbra. Ceci permet à un attaquant d’exécuter du code arbitraire sur le système via une authentification utilisateur simple qui s’avère suffisante pour une attaque réussie.

IMPACT :

  • Injection de code indirect à distance (XSS) ;
  • Élévation de privilège ;
  • Contournement de la politique de sécurité ;
  • Exécution de code arbitraire à distance .

SYSTEMES AFFECTÉS

Ces vulnérabilités affectent versions suivantes de Zimbra :

  • les versions 9.0.x et celle antérieures ;
  • les versions 8.8.x et celles antérieures ;

MESURES À PRENDRE :

Il est fortement recommandé d’effectuer une mise à jour vers la dernière version de Zimbra.

REFERENCES :

  • https://cyberveille-sante.gouv.fr/cyberveille/3193-multiples-vulnerabilites-critiques-dans-zimbra-2022-08-01
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24407
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2068
Partagez sur vos réseaux.