检测

Zimbra Collaboration Server 10.0 < 10.0.9、10.1.0 < 10.1.1 XSS

medium Nessus 插件 ID 211699

语言:

简介

远程 Web 服务器包含一个受到跨站脚本影响的 Web 应用程序。

描述

在 Zimbra Collaboration (ZCS) 10.1 中发现一个问题。公文包模块中存在一个反射型跨站脚本 (XSS) 问题,这是因为 OnlyOffice 格式化程序不当审查文件内容所导致。当受害者打开指向共享文件夹(其中包含攻击者上传的恶意文件)的特制 URL 时,会发生这种情况。此漏洞可允许攻击者在受影响会话的上下文中执行任意 JavaScript。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到版本 10.0.9、10.1.1 或更高版本。

另见

https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.9

https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.1

https://wiki.zimbra.com/wiki/Security_Center

https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories

插件详情

严重性: Medium

ID: 211699

文件名: zimbra_CVE-2024-45511.nasl

版本: 1.4

类型: combined

代理: unix

系列: CGI abuses

发布时间: 2024/11/21

最近更新时间: 2025/6/12

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3.0

CVSS v2

风险因素: Medium

基本分数: 6.4

时间分数: 4.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS 分数来源: CVE-2024-45511

CVSS v3

风险因素: Medium

基本分数: 5.4

时间分数: 4.7

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:zimbra:collaboration_suite

必需的 KB 项: installed_sw/zimbra_zcs

易利用性: No known exploits are available

补丁发布日期: 2024/9/4

漏洞发布日期: 2024/11/20

参考资料信息

CVE: CVE-2024-45511

IAVA: 2024-A-0764-S