Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en una funcionalidad mboximport en Zimbra Collaboration Suite (ZCS) (CVE-2022-37042)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
12/08/2022
Última modificación:
13/03/2025

Descripción

Zimbra Collaboration Suite (ZCS) versiones 8.8.15 y 9.0, presenta una funcionalidad mboximport que recibe un archivo ZIP y extrae archivos de él. Al omitir la autenticación (es decir, al no tener un authtoken), un atacante puede cargar archivos arbitrarios en el sistema, conllevando a un salto de directorios y una ejecución de código remota. NOTA: este problema existe debido a una corrección incompleta de CVE-2022-27925.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:zimbra:collaboration:8.8.15:-:*:*:*:*:*:*
cpe:2.3:a:zimbra:collaboration:9.0.0:-:*:*:*:*:*:*