Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Zimbra Collaboration Suite (CVE-2023-24030)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-601 Redireccionamiento de URL a sitio no confiable (Open Redirect)
Fecha de publicación:
15/06/2023
Última modificación:
27/06/2023

Descripción

Existe una vulnerabilidad de redirección abierta en el Servlet "/preauth" en Zimbra Collaboration Suite a través de las versiones 9.0 y 8.8.15. Para explotar la vulnerabilidad, un atacante necesitaría haber obtenido un token "auth" válido de Zimbra o un token "preauth" válido. Una vez obtenido el token, un atacante podría redirigir a un usuario a cualquier URL si se salta la limpieza de urls en las peticiones entrantes. NOTA: esto es similar, pero no idéntico, a CVE-2021-34807.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:zimbra:collaboration:8.8.15:-:*:*:*:*:*:*
cpe:2.3:a:zimbra:collaboration:8.8.15:p1:*:*:*:*:*:*
cpe:2.3:a:zimbra:collaboration:8.8.15:p10:*:*:*:*:*:*
cpe:2.3:a:zimbra:collaboration:8.8.15:p11:*:*:*:*:*:*
cpe:2.3:a:zimbra:collaboration:8.8.15:p12:*:*:*:*:*:*
cpe:2.3:a:zimbra:collaboration:8.8.15:p13:*:*:*:*:*:*
cpe:2.3:a:zimbra:collaboration:8.8.15:p14:*:*:*:*:*:*
cpe:2.3:a:zimbra:collaboration:8.8.15:p15:*:*:*:*:*:*
cpe:2.3:a:zimbra:collaboration:8.8.15:p16:*:*:*:*:*:*
cpe:2.3:a:zimbra:collaboration:8.8.15:p17:*:*:*:*:*:*
cpe:2.3:a:zimbra:collaboration:8.8.15:p18:*:*:*:*:*:*
cpe:2.3:a:zimbra:collaboration:8.8.15:p19:*:*:*:*:*:*
cpe:2.3:a:zimbra:collaboration:8.8.15:p2:*:*:*:*:*:*
cpe:2.3:a:zimbra:collaboration:8.8.15:p20:*:*:*:*:*:*
cpe:2.3:a:zimbra:collaboration:8.8.15:p21:*:*:*:*:*:*