CVE-2024-27443
CVE-2024-27443
Vexday Risk Score
63Prioridad alta
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 6.1EPSS 19.5%KEV simPoC —Nuclei simMetasploit —Patch —
Ciclo de vida
12 ago 2024Publicada en NVD
19 may 2025Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
Una falla en la función de calendario de Zimbra Collaboration permite a los atacantes inyectar código malicioso en mensajes de correo. Cuando la víctima abre estos correos en el webmail, el código se ejecuta en su navegador, pudiendo comprometer su cuenta.
Detalle técnico
Vulnerabilidad de Cross-Site Scripting (XSS) en la función CalendarInvite de Zimbra ZCS 9.0 y 10.0, debido a validación insuficiente de entrada en el encabezado del calendario. El vector de ataque es basado en correo electrónico; el atacante crea un encabezado de calendario con payload XSS que se ejecuta en el contexto de la sesión de la víctima al visualizarse en la interfaz webmail clásica, permitiendo ejecución de JavaScript arbitrario.
Resumen generado y traducido por IA a partir de la descripción oficial.
An issue was discovered in Zimbra Collaboration (ZCS) 9.0 and 10.0. A Cross-Site Scripting (XSS) vulnerability exists in the CalendarInvite feature of the Zimbra webmail classic user interface, because of improper input validation in the handling of the calendar header. An attacker can exploit this via an email message containing a crafted calendar header with an embedded XSS payload. When a victim views this message in the Zimbra webmail classic interface, the payload is executed in the context of the victim's session, potentially leading to execution of arbitrary JavaScript code.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N