Zimbra Collaboration, la plataforma de correo electrónico y colaboración ampliamente adoptada, ha revelado tres nuevas vulnerabilidades, identificadas como CVE-2024-33533, CVE-2024-33535 y CVE-2024-33536. Estas fallas afectan las versiones 9.0 y 10.0 de Zimbra Collaboration, exponiendo a los usuarios a posibles ataques de Cross-Site Scripting (XSS) y Local File Inclusion (LFI).
- CVE-2024-33533 (CVSS N/A): Esta vulnerabilidad radica en la interfaz de administración de Zimbra webmail, y surge de una validación inadecuada del parámetro ‘packages’. Un atacante autenticado podría explotar esta falla para inyectar y ejecutar código JavaScript malicioso en la sesión del navegador de otro usuario.
- CVE-2024-33535 (CVSS N/A): Esta vulnerabilidad radica en la inclusión de archivos locales sin autenticación dentro de una aplicación web, específicamente vinculado al manejo del parámetro ‘packages’. Un atacante podría aprovechar esta vulnerabilidad para incluir archivos locales arbitrarios sin necesidad de autenticarse, lo que podría otorgar acceso no autorizado a información sensible dentro de un directorio definido.
- CVE-2024-33536 (CVSS N/A): Esta vulnerabilidad implica un ataque de tipo reflected XSS, derivado de la validación insuficiente del parámetro ‘res’. Similar a la CVE-2024-33533, un atacante autenticado podría inyectar y ejecutar código JavaScript arbitrario en la sesión del navegador de otro usuario.
Versiones afectadas:
- Versiones 9.0 y 10.0 de Zimbra Collaboration.
Solución:
- Se recomienda a todas las organizaciones que utilicen Zimbra Collaboration aplicar de inmediato los parches de seguridad más recientes proporcionados por Zimbra para mitigar estos riesgos.
Recomendaciones:
- Actualizar a la última versión de Zimbra Collaboration para cerrar las brechas de seguridad.
- Monitorear continuamente los sistemas en busca de actividades inusuales que puedan indicar intentos de explotación.
- Configurar controles de acceso estrictos y realizar auditorías regulares de seguridad en el entorno de Zimbra.
Referencias: