一、 漏洞 CVE-2024-27443 基础信息
漏洞信息
# N/A
## 漏洞概述
Zimbra Collaboration 社区版本(ZCS)9.0 和 10.0 存在一个跨站点脚本(XSS)漏洞。该漏洞存在于 Zimbra 网页邮件经典用户界面的 CalendarInvite 功能中,原因在于对日历头信息的不当输入验证。
## 影响版本
- Zimbra Collaboration 9.0
- Zimbra Collaboration 10.0
## 漏洞细节
攻击者可以通过含有特制日历头信息的电子邮件携带一个嵌入的 XSS 载荷,触发该漏洞。当受害者使用 Zimbra 网页邮件经典界面查看该邮件时,载荷会在受害者的会话上下文中执行,导致任意 JavaScript 代码的执行。
## 漏洞影响
该漏洞可能导致攻击者注入和执行任意 JavaScript 代码,从而利用受害者的浏览器会话进行进一步的攻击。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An issue was discovered in Zimbra Collaboration (ZCS) 9.0 and 10.0. A Cross-Site Scripting (XSS) vulnerability exists in the CalendarInvite feature of the Zimbra webmail classic user interface, because of improper input validation in the handling of the calendar header. An attacker can exploit this via an email message containing a crafted calendar header with an embedded XSS payload. When a victim views this message in the Zimbra webmail classic interface, the payload is executed in the context of the victim's session, potentially leading to execution of arbitrary JavaScript code.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Zimbra Collaboration Server 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Zimbra Collaboration Server(ZCS)是Zimbra公司的一套电子邮件和协作解决方案。该方案提供电子邮件、联系人、日历、文件共享、社交网络等功能。 Zimbra Collaboration Server 9.0版本和10.0版本存在安全漏洞,该漏洞源于存在跨站脚本漏洞,从而允许有效载荷在受害者会话的环境中执行,导致执行任意JavaScript代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-27443 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | An issue was discovered in Zimbra Collaboration (ZCS) 9.0 and 10.0. A Cross-Site Scripting (XSS) vulnerability exists in the CalendarInvite feature of the Zimbra webmail classic user interface, because of improper input validation in the handling of the calendar header. An attacker can exploit this via an email message containing a crafted calendar header with an embedded XSS payload. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-27443.yaml | POC详情 |
三、漏洞 CVE-2024-27443 的情报信息
-
标题: Zimbra Releases/10.0.7 - Zimbra :: Tech Center -- 🔗来源链接
标签:
-
标题: Zimbra Releases/9.0.0/P39 - Zimbra :: Tech Center -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2024-27443
四、漏洞 CVE-2024-27443 的评论
暂无评论