Vulnerabilidad en Zimbra GraphQL (CVE-2024-9665)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

22/11/2024

Última modificación:

03/01/2025

Descripción

Vulnerabilidad de divulgación de información mediante Cross-Site Request Forgery en Zimbra GraphQL. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial sobre las instalaciones afectadas de Zimbra. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe abrir un mensaje de correo electrónico malicioso. La falla específica existe dentro de la implementación del endpoint GraphQL. El problema es el resultado de la falta de protecciones adecuadas contra ataques de Cross-Site Request Forgery (CSRF). Un atacante puede aprovechar esta vulnerabilidad para divulgar información en el contexto de la cuenta de correo electrónico de destino. Era ZDI-CAN-23939.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:zimbra:zimbra::::::::		9.0.0 (excluyendo)
cpe:2.3:a:zimbra:zimbra::::::::	10.0.0 (incluyendo)	10.0.10 (excluyendo)
cpe:2.3:a:zimbra:zimbra::::::::	10.1.0 (incluyendo)	10.1.2 (excluyendo)
cpe:2.3:a:zimbra:zimbra:9.0.0:p0::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p19::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p23::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p25::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p26::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p27::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p28::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p30::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p31::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p33::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p34::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p35::::::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:zimbra:zimbra::::::::		9.0.0 (excluyendo)
cpe:2.3:a:zimbra:zimbra::::::::	10.0.0 (incluyendo)	10.0.10 (excluyendo)
cpe:2.3:a:zimbra:zimbra::::::::	10.1.0 (incluyendo)	10.1.2 (excluyendo)
cpe:2.3:a:zimbra:zimbra:9.0.0:p0::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p19::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p23::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p25::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p26::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p27::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p28::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p30::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p31::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p33::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p34::::::
cpe:2.3:a:zimbra:zimbra:9.0.0:p35::::::

Vulnerabilidad en Zimbra GraphQL (CVE-2024-9665)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información