Vulnerabilidad en Zimbra Collaboration Suite (CVE-2019-9621)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
30/04/2019
Última modificación:
09/07/2025
Descripción
Zimbra Collaboration Suite anterior de la versión 8.6 path 13, versión 8.7.x anterior de la 8.7.11 path 10, y versión 8.8.x anterior de la 8.8.10 path 7 u versión 8.8.x anterior de la 8.8.11 path 3, permite vulnerabilidad de tipo SSRF por medio del componente ProxyServlet.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:synacor:zimbra_collaboration_suite:*:*:*:*:*:*:*:* | 8.6.0 (excluyendo) | |
| cpe:2.3:a:synacor:zimbra_collaboration_suite:*:*:*:*:*:*:*:* | 8.7.0 (incluyendo) | 8.7.11 (excluyendo) |
| cpe:2.3:a:synacor:zimbra_collaboration_suite:*:*:*:*:*:*:*:* | 8.8.0 (incluyendo) | 8.8.9 (excluyendo) |
| cpe:2.3:a:synacor:zimbra_collaboration_suite:8.6.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:synacor:zimbra_collaboration_suite:8.6.0:patch1:*:*:*:*:*:* | ||
| cpe:2.3:a:synacor:zimbra_collaboration_suite:8.6.0:patch10:*:*:*:*:*:* | ||
| cpe:2.3:a:synacor:zimbra_collaboration_suite:8.6.0:patch11:*:*:*:*:*:* | ||
| cpe:2.3:a:synacor:zimbra_collaboration_suite:8.6.0:patch12:*:*:*:*:*:* | ||
| cpe:2.3:a:synacor:zimbra_collaboration_suite:8.6.0:patch2:*:*:*:*:*:* | ||
| cpe:2.3:a:synacor:zimbra_collaboration_suite:8.6.0:patch3:*:*:*:*:*:* | ||
| cpe:2.3:a:synacor:zimbra_collaboration_suite:8.6.0:patch4:*:*:*:*:*:* | ||
| cpe:2.3:a:synacor:zimbra_collaboration_suite:8.6.0:patch5:*:*:*:*:*:* | ||
| cpe:2.3:a:synacor:zimbra_collaboration_suite:8.6.0:patch6:*:*:*:*:*:* | ||
| cpe:2.3:a:synacor:zimbra_collaboration_suite:8.6.0:patch7:*:*:*:*:*:* | ||
| cpe:2.3:a:synacor:zimbra_collaboration_suite:8.6.0:patch8:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/152487/Zimbra-Collaboration-Autodiscover-Servlet-XXE-ProxyServlet-SSRF.html
- http://packetstormsecurity.com/files/153190/Zimbra-XML-Injection-Server-Side-Request-Forgery.html
- http://www.rapid7.com/db/modules/exploit/linux/http/zimbra_xxe_rce
- https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html
- https://blog.zimbra.com/2019/03/9826/
- https://bugzilla.zimbra.com/show_bug.cgi?id=109127
- https://wiki.zimbra.com/wiki/Security_Center
- https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
- https://www.exploit-db.com/exploits/46693/
- http://packetstormsecurity.com/files/152487/Zimbra-Collaboration-Autodiscover-Servlet-XXE-ProxyServlet-SSRF.html
- http://packetstormsecurity.com/files/153190/Zimbra-XML-Injection-Server-Side-Request-Forgery.html
- http://www.rapid7.com/db/modules/exploit/linux/http/zimbra_xxe_rce
- https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html
- https://blog.zimbra.com/2019/03/9826/
- https://bugzilla.zimbra.com/show_bug.cgi?id=109127
- https://wiki.zimbra.com/wiki/Security_Center
- https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
- https://www.exploit-db.com/exploits/46693/