Vulnerabilidad en una funcionalidad mboximport en Zimbra Collaboration Suite (ZCS) (CVE-2022-37042)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

12/08/2022

Última modificación:

04/11/2025

Descripción

Zimbra Collaboration Suite (ZCS) versiones 8.8.15 y 9.0, presenta una funcionalidad mboximport que recibe un archivo ZIP y extrae archivos de él. Al omitir la autenticación (es decir, al no tener un authtoken), un atacante puede cargar archivos arbitrarios en el sistema, conllevando a un salto de directorios y una ejecución de código remota. NOTA: este problema existe debido a una corrección incompleta de CVE-2022-27925.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:-::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p1::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p10::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p11::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p12::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p13::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p14::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p15::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p16::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p17::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p18::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p19::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p2::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p20::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p21::::::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:-::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p1::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p10::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p11::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p12::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p13::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p14::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p15::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p16::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p17::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p18::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p19::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p2::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p20::::::
cpe:2.3:a:synacor:zimbra_collaboration_suite:8.8.15:p21::::::

Vulnerabilidad en una funcionalidad mboximport en Zimbra Collaboration Suite (ZCS) (CVE-2022-37042)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información