CVE-2023-37580

CVSS 6.1 MEDIUMEPSS 59.0%● KEVCWE-79

Vexday Risk Score

70Prioridad alta

Decisión SSVC (CISA)

Act

Explotación + impacto → acción inmediata

CVSS 6.1EPSS 59.0%KEV simPoC —Nuclei simMetasploit —Patch —

Ciclo de vida

27 jul 2023Explotación activa (CISA KEV)

31 jul 2023Publicada en NVD

Recomendación: Corregir cuanto antes — hay explotación activa confirmada.

En resumen

Una vulnerabilidad en Zimbra Collaboration Server versión 8 permite que atacantes inyecten scripts maliciosos en el cliente web clásico, pudiendo robar credenciales o información de sesión de los usuarios.

Detalle técnico

Vulnerabilidad de cross-site scripting (XSS) en Zimbra Collaboration Server 8.x anterior a la versión 8.8.15 Patch 41 permite que atacantes inyecten código JavaScript malicioso que se ejecuta en el navegador del usuario dentro del contexto del Zimbra Classic Web Client. La explotación requiere interacción del usuario (acceder a un enlace malicioso o ver contenido manipulado) y puede resultar en secuestro de sesión, robo de credenciales o ejecución de acciones no autorizadas en nombre del usuario.

Resumen generado y traducido por IA a partir de la descripción oficial.

Zimbra Collaboration (ZCS) 8 before 8.8.15 Patch 41 allows XSS in the Zimbra Classic Web Client.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Productos afectados

n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://wiki.zimbra.com/wiki/Security_Center https://wiki.zimbra.com/wiki/Zimbra_Responsible_Disclosure_Policy https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-37580 http://www.openwall.com/lists/oss-security/2023/11/17/2