← volver
CVE-2022-27926

CVE-2022-27926

CVSS 6.1 MEDIUMEPSS 17.3%● KEVCWE-79
Vexday Risk Score
63Prioridad alta
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 6.1EPSS 17.3%KEV simPoC Nuclei simMetasploit Patch
Ciclo de vida
20 abr 2022Publicada en NVD
03 abr 2023Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen

Un fallo en Zimbra Collaboration 9.0 permite que atacantes inyecten scripts maliciosos en páginas web a través de parámetros de URL, que se ejecutan en los navegadores de los usuarios. Esto puede robar datos sensibles o secuestrar sesiones sin necesidad de autenticación.

Detalle técnico

Vulnerabilidad XSS reflejada en el componente /public/launchNewWindow.jsp explotable mediante parámetros de solicitud no sanitizados. Atacantes no autenticados pueden crear URLs maliciosas para inyectar JavaScript arbitrario que se ejecute en navegadores de víctimas, comprometiendo la integridad de sesión y permitiendo robo de credenciales.

Resumen generado y traducido por IA a partir de la descripción oficial.
A reflected cross-site scripting (XSS) vulnerability in the /public/launchNewWindow.jsp component of Zimbra Collaboration (aka ZCS) 9.0 allows unauthenticated attackers to execute arbitrary web script or HTML via request parameters.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Productos afectados
n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://wiki.zimbra.com/wiki/Security_Centerhttps://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P24https://wiki.zimbra.com/wiki/Zimbra_Security_Advisorieshttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-27926