一、 漏洞 CVE-2022-24682 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
在Zimbra Collaboration Suite 8.8.x版本的Calendar功能中发现了一个漏洞,该漏洞被野外利用始于2021年12月。攻击者可以将包含可执行JavaScript的HTML放置在元素属性中,这会导致标记未被转义,从而将任意标记注入文档中。

## 影响版本
Zimbra Collaboration Suite 8.8.x版本,特别是在8.8.15补丁30(更新1)之前的版本。

## 漏洞细节
攻击者可以利用该漏洞将包含可执行JavaScript的HTML注入到元素属性中。这些HTML标记不会被转义,导致任意标记被注入文档中,从而可能执行恶意行为。

## 影响
该漏洞可能导致跨站脚本(XSS)攻击,攻击者可以注入恶意脚本并执行攻击行为,影响系统的安全性和用户的隐私。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An issue was discovered in the Calendar feature in Zimbra Collaboration Suite 8.8.x before 8.8.15 patch 30 (update 1), as exploited in the wild starting in December 2021. An attacker could place HTML containing executable JavaScript inside element attributes. This markup becomes unescaped, causing arbitrary markup to be injected into the document.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Zimbra Collaboration Suite 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Synacor Zimbra Collaboration Suite(ZCS)是美国Synacor公司的一款开源协同办公套件。该产品包括WebMail、日历、通信录等。 Zimbra Collaboration Suite 8.8存在安全漏洞,该漏洞源于攻击者可利用该漏洞可以将包含可执行JavaScript的HTML放在元素属性中。此标记变为未转义的,从而导致将任意标记注入到文档中。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-24682 的公开POC
# POC 描述 源链接 神龙链接
1 An issue was discovered in the Calendar feature in Zimbra Collaboration Suite 8.8.x before 8.8.15 patch 30 (update 1), as exploited in the wild starting in December 2021. An attacker could place HTML containing executable JavaScript inside element attributes. This markup becomes unescaped, causing arbitrary markup to be injected into the document. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2022/CVE-2022-24682.yaml POC详情
三、漏洞 CVE-2022-24682 的情报信息
四、漏洞 CVE-2022-24682 的评论

暂无评论

发表评论