検出

Zimbra Collaboration Server 8.8.x < 8.8.15 パッチ 44、9.x < 9.0.0 パッチ 37、10.0.x < 10.0.5 の複数の脆弱性

critical Nessus プラグイン ID 183920

Language:

概要

リモート Web サーバーに、複数の脆弱性の影響を受ける Web アプリケーションがあります。

説明

自己報告されたバージョン番号によると、Zimbra Collaboration Server は以下の複数の脆弱性の影響を受けます。

 - ヘルプファイルからの javascript インジェクションを防ぐために、セキュリティ関連の問題が修正されました。
 (CVE-2007-1280)

 - 管理者ユーザーインターフェースで使用されているサードパーティライブラリの 1 つに影響を与えていた、セキュリティ関連の問題が修正されました。(CVE-2020-7746)

 - 悪意のある Javascript コードを含む PDF がブリーフケースでアップロードされる際に、XSS の脆弱性が観察されました。(CVE-2023-45207)

 - robohelp パッケージに、複数のクロスサイトスクリプティング (XSS) 脆弱性が存在する可能性が観察されました。このパッケージは現在、オプションとなっています。これにより、ユーザーは URL - https://www.zimbra.com/documentation/ からヘルプドキュメントにアクセスできるようになります。(CVE-2023-45206)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

バージョン 8.8.15 パッチ 44、9.0.0 パッチ 37、10.0.5 以降にアップグレードしてください。

参考資料

https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.5

https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P37

https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P44

https://wiki.zimbra.com/wiki/Security_Center

https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories

プラグインの詳細

深刻度: Critical

ID: 183920

ファイル名: zimbra_10_0_5.nasl

バージョン: 1.4

タイプ: combined

エージェント: unix

ファミリー: CGI abuses

公開日: 2023/10/26

更新日: 2024/10/8

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.4

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2007-1280

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2020-7746

脆弱性情報

CPE: cpe:/a:zimbra:collaboration_suite

必要な KB アイテム: installed_sw/zimbra_zcs

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2023/10/19

脆弱性公開日: 2023/10/19

参照情報

CVE: CVE-2007-1280, CVE-2020-7746, CVE-2023-45206, CVE-2023-45207

IAVA: 2023-A-0583-S