Aktywnie wykorzystywana w atakach
Synacor Zimbra Collaboration Suite (ZCS) Cross-Site Scripting (XSS) Vulnerability
Synacor — Zimbra Collaboration Suite (ZCS) · Figuruje w katalogu CISA KEV od 2025-02-25. Oznacza to potwierdzone ataki w środowisku produkcyjnym.
Wymagane działanie: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
CVE-2023-34192
KrytyczneCVSS 9.0KEVPrawdopodobieństwo exploitacji (EPSS)
Bardzo wysokie ryzykoPercentyl 100 — wyżej niż 100% wszystkich znanych CVE
Streszczenie
Podatność typu Cross Site Scripting w Zimbra ZCS w wersji 8.8.15 umożliwia zdalnemu uwierzytelnionemu atakującemu wykonanie dowolnego kodu za pomocą spreparowanego skryptu w funkcji /h/autoSaveDraft.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do przejęcia kontroli nad systemem lub kradzieży danych użytkowników, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację Zimbra ZCS do najnowszej wersji, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa aplikacji.
Oryginalny opis (angielski, źródło NVD)
Cross Site Scripting vulnerability in Zimbra ZCS v.8.8.15 allows a remote authenticated attacker to execute arbitrary code via a crafted script to the /h/autoSaveDraft function.

