Vulnerabilidad en Zimbra Collaboration (ZCS) (CVE-2026-33373)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
30/03/2026
Última modificación:
07/04/2026
Descripción
Se descubrió un problema en Zimbra Collaboration (ZCS) 10.0 y 10.1. Existe una vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en el cliente web de Zimbra debido a la emisión de tokens de autenticación sin protección CSRF durante ciertas transiciones de estado de cuenta. Específicamente, los tokens generados después de operaciones como habilitar la autenticación de dos factores o cambiar una contraseña pueden carecer de aplicación de CSRF. Mientras dicho token esté activo, las peticiones SOAP autenticadas que desencadenan la generación de tokens o cambios de estado pueden realizarse sin validación CSRF. Un atacante podría explotar esto induciendo a una víctima a enviar peticiones manipuladas, lo que podría permitir acciones sensibles en la cuenta como deshabilitar la autenticación de dos factores. El problema se mitiga asegurando que la protección CSRF se aplique consistentemente para todos los tokens de autenticación emitidos.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:synacor:zimbra_collaboration_suite:*:*:*:*:*:*:*:* | 10.0.0 (incluyendo) | 10.0.18 (excluyendo) |
| cpe:2.3:a:synacor:zimbra_collaboration_suite:*:*:*:*:*:*:*:* | 10.1.0 (incluyendo) | 10.1.13 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página