CVE-2022-24682
CVE-2022-24682
Em resumo
Uma falha no recurso de Calendário do Zimbra permite que atacantes injetem código JavaScript malicioso através de HTML em elementos do calendário. Isso pode levar a ações não autorizadas na conta do usuário quando ele visualiza o conteúdo afetado.
Detalhe técnico
A vulnerabilidade existe no recurso de Calendário onde entrada fornecida pelo usuário em atributos de elementos não é devidamente escapada antes de ser renderizada no DOM, resultando em injeção de HTML/JavaScript (CWE-116). Um atacante pode criar entradas de calendário maliciosas contendo payloads JavaScript que executam no contexto da sessão do navegador da vítima, levando potencialmente a sequestro de sessão ou comprometimento da conta.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An issue was discovered in the Calendar feature in Zimbra Collaboration Suite 8.8.x before 8.8.15 patch 30 (update 1), as exploited in the wild starting in December 2021. An attacker could place HTML containing executable JavaScript inside element attributes. This markup becomes unescaped, causing arbitrary markup to be injected into the document.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://blog.zimbra.com/2022/02/hotfix-available-5-feb-for-zero-day-exploit-vulnerability-in-zimbra-8-8-15/https://wiki.zimbra.com/wiki/Security_Centerhttps://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P30https://wiki.zimbra.com/wiki/Zimbra_Security_Advisorieshttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-24682https://www.volexity.com/blog/2022/02/03/operation-emailthief-active-exploitation-of-zero-day-xss-vulnerability-in-zimbra/