CERTFR-2023-ALE-007
Vulnerability from certfr_alerte

[Mise à jour du 26 juillet 2023] Publication du correctif de sécurité par l'éditeur

Le 26 juillet 2023, l'éditeur a publié un correctif de sécurité [1] pour cette vulnérabilité immatriculée CVE-2023-37580. Il est donc fortement recommandé de déployer le correctif P41 pour toutes les versions 8.8.15 du produit Zimbra Collaboration Suite.

Le 13 juillet 2023, Zimbra a publié un avis de sécurité alertant de l'existence d'une vulnérabilité affectant sa solution Collaboration Suite dans la version 8.8.15

Cette vulnérabilité permet à un attaquant de réaliser une injection de code indirecte (XSS) pour porter atteinte à l'intégrité des données et la confidentialité des données. Aucun identifiant CVE ne lui a été attribué au moment de la publication de la présente alerte.

Le CERT-FR rappelle que les versions 8.x antérieures à 8.8.15 ne sont plus supportées. [Mise à jour du 18 juillet 2023] L'éditeur confirme que toutes les versions 8.x sont affectées.

L'éditeur indique que cette vulnérabilité est activement exploitée alors qu'une version corrective n'est pas disponible.

Solution

L'éditeur documente la procédure manuelle à réaliser pour corriger la vulnérabilité. Le CERT-FR recommande très fortement d'appliquer cette procédure sans délai.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Impacted products
Vendor Product Description
Synacor Zimbra Collaboration Zimbra Collaboration Suite 8.x
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Zimbra Collaboration Suite 8.x",
      "product": {
        "name": "Zimbra Collaboration",
        "vendor": {
          "name": "Synacor",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "closed_at": "2024-01-02",
  "content": "## Solution\n\nL\u0027\u00e9diteur documente la proc\u00e9dure manuelle \u00e0 r\u00e9aliser pour corriger la\nvuln\u00e9rabilit\u00e9. \u003cspan style=\"text-decoration: underline;\"\u003eLe CERT-FR\nrecommande tr\u00e8s fortement d\u0027appliquer cette proc\u00e9dure sans\nd\u00e9lai.\u003c/span\u003e\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2023-37580",
      "url": "https://www.cve.org/CVERecord?id=CVE-2023-37580"
    }
  ],
  "initial_release_date": "2023-07-17T00:00:00",
  "last_revision_date": "2024-01-02T00:00:00",
  "links": [
    {
      "title": "Avis CERT-FR CERTFR-2023-AVI-0546 du 13 juillet",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0546/"
    },
    {
      "title": "[1] Avis de s\u00e9curit\u00e9 Zimbra 8.8.15 P41 du 26 juillet 2023",
      "url": "https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P41"
    }
  ],
  "reference": "CERTFR-2023-ALE-007",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2023-07-17T00:00:00.000000"
    },
    {
      "description": "Confirmation des versions affect\u00e9es.",
      "revision_date": "2023-07-18T00:00:00.000000"
    },
    {
      "description": "Ajout du correctif de l\u0027\u00e9diteur",
      "revision_date": "2023-07-26T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2024-01-02T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    },
    {
      "description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e\\[Mise \u00e0 jour du 26 juillet 2023\\]\nPublication du correctif de s\u00e9curit\u00e9 par l\u0027\u00e9diteur  \n\u003c/strong\u003e\u003c/span\u003e\n\n\u003cspan style=\"color: #ff0000;\"\u003eLe 26 juillet 2023, l\u0027\u00e9diteur a publi\u00e9 un\ncorrectif de s\u00e9curit\u00e9 \\[1\\] pour cette vuln\u00e9rabilit\u00e9 immatricul\u00e9e\nCVE-2023-37580. Il est donc fortement recommand\u00e9 de d\u00e9ployer le\ncorrectif P41 pour toutes les versions 8.8.15 du produit Zimbra\nCollaboration Suite.\u003c/span\u003e\n\nLe 13 juillet 2023, Zimbra a publi\u00e9 un avis de s\u00e9curit\u00e9 alertant de\nl\u0027existence d\u0027une vuln\u00e9rabilit\u00e9 affectant sa solution Collaboration\nSuite dans la version 8.8.15\n\nCette vuln\u00e9rabilit\u00e9 permet \u00e0 un attaquant de r\u00e9aliser une injection de\ncode indirecte (*XSS*) pour porter atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es et\nla confidentialit\u00e9 des donn\u00e9es. Aucun identifiant CVE ne lui a \u00e9t\u00e9\nattribu\u00e9 au moment de la publication de la pr\u00e9sente alerte.\n\n\u003cspan style=\"text-decoration: underline;\"\u003eLe CERT-FR rappelle que les\nversions 8.x ant\u00e9rieures \u00e0 8.8.15 ne sont plus support\u00e9es\u003c/span\u003e. \\[Mise\n\u00e0 jour du 18 juillet 2023\\] L\u0027\u00e9diteur confirme que toutes les versions\n8.x sont affect\u00e9es.\n\nL\u0027\u00e9diteur indique que \u003cspan style=\"text-decoration: underline;\"\u003ecette\nvuln\u00e9rabilit\u00e9 est activement exploit\u00e9\u003c/span\u003ee alors qu\u0027une version\ncorrective n\u0027est pas disponible.\n",
  "title": "[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Zimbra Collaboration Suite",
  "vendor_advisories": [
    {
      "published_at": "2023-07-13",
      "title": "Bulletin de s\u00e9curit\u00e9 Zimbra",
      "url": "https://blog.zimbra.com/2023/07/security-update-for-zimbra-collaboration-suite-version-8-8-15/"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.