検出

プラグイン

Nessus ファミリー

WAS ファミリー

プラグインファミリーについて

インジケーター

攻撃インジケーター

露出インジケーター

Zimbra Collaboration Server 9.x < 9.0.0 パッチ 39、 10.0.x < 10.0.13、 10.1.x < 10.1.5 XSS

medium Nessus プラグイン ID 269804

Language:

概要

リモート Web サーバーに、クロスサイトスクリプティング脆弱性の影響を受ける Web アプリケーションがあります。

説明

自己報告されたバージョン番号によると、Zimbra Collaboration Serverは、以下の脆弱性の影響を受けます。HTMLのサニタイズが不十分なため、蓄積型クロスサイトスクリプティングXSSの脆弱性が従来のWebクライアントにあります。攻撃者は特別に細工されたメールを使用し、埋め込まれた JavaScript を実行して被害者のセッション内で任意の JavaScript を実行し、被害者のアカウントで認証されていないアクション (メールのリダイレクト、データの抽出、マルウェアのインストールなど) を実行する可能性があります。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

バージョン 9.0.0 パッチ 4、 10.0.13、 10.1.5、以降にアップグレードしてください。

参考資料

https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P44

https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.13

https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.5

https://wiki.zimbra.com/wiki/Security_Center

https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories

プラグインの詳細

深刻度: Medium

ID: 269804

ファイル名: zimbra_10_1_5.nasl

バージョン: 1.2

タイプ: combined

エージェント: unix

ファミリー: CGI abuses

公開日: 2025/10/9

更新日: 2025/10/10

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.7

CVSS v2

リスクファクター: Medium

基本値: 5.5

現状値: 4.5

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:N

CVSS スコアのソース: CVE-2025-27915

CVSS v3

リスクファクター: Medium

基本値: 5.4

現状値: 5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:zimbra:collaboration_suite

必要な KB アイテム: installed_sw/zimbra_zcs

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2025/3/12

脆弱性公開日: 2025/3/12

CISA の既知の悪用された脆弱性の期限日: 2025/10/28

参照情報

CVE: CVE-2025-27915

IAVA: 2025-A-0735