Résumé
[Mise à jour du 26 juillet 2023]
Publication du correctif de sécurité par l'éditeur
Le 26 juillet 2023, l'éditeur a publié un
correctif de sécurité [1] pour cette vulnérabilité immatriculée
CVE-2023-37580. Il est donc fortement recommandé de déployer le
correctif P41 pour toutes les versions 8.8.15 du produit Zimbra
Collaboration Suite.
Le 13 juillet 2023, Zimbra a publié un avis de sécurité alertant de
l'existence d'une vulnérabilité affectant sa solution Collaboration
Suite dans la version 8.8.15
Cette vulnérabilité permet à un attaquant de réaliser une injection de
code indirecte (XSS) pour porter atteinte à l'intégrité des données et
la confidentialité des données. Aucun identifiant CVE ne lui a été
attribué au moment de la publication de la présente alerte.
Le CERT-FR rappelle que les
versions 8.x antérieures à 8.8.15 ne sont plus supportées. [Mise
à jour du 18 juillet 2023] L'éditeur confirme que toutes les versions
8.x sont affectées.
L'éditeur indique que cette
vulnérabilité est activement exploitée alors qu'une version
corrective n'est pas disponible.
Solution
L'éditeur documente la procédure manuelle à réaliser pour corriger la
vulnérabilité. Le CERT-FR
recommande très fortement d'appliquer cette procédure sans
délai.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).