Zimbra verhelpt actief aangevallen XSS-zerodaylek in webmailclient
De makers van de Zimbra collaborative software suite hebben beveiligingsupdates uitgebracht voor een actief aangevallen XSS-zerodaylek in de webmail-client, alsmede een kwetsbaarheid die een aanvaller toegang tot interne JSP- en XML-bestanden kan geven. Volgens een beveiligingsonderzoeker kan deze laatste kwetsbaarheid tot remote code execution leiden.
Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. De afgelopen jaren is Zimbra geregeld het doelwit geweest van aanvallen. Twee weken geleden waarschuwde Google nog voor een actief aangevallen zerodaylek in Zimbra waarvoor inmiddels ook een beveiligingsupdate was verschenen.
Details over de kwetsbaarheid werden echter niet gegeven. Ook ontbrak een CVE-nummer waarmee beveiligingslekken worden aangeduid. Het probleem zou alleen aanwezig zijn in Zimbra 8.8.15. Gisteren kwam Zimbra voor verschillende versies van de software met beveiligingsupdates, waaronder voor drie kwetsbaarheden in versie 8.8.15. Het gaat onder andere om CVE-2023-37580, een kwetsbaarheid die cross-site scripting mogelijk maakt. Daardoor is het bijvoorbeeld mogelijk om cookies te stelen en toegang tot e-mails te krijgen.
Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security verstuurde gisterenavond een e-mail dat er actief misbruik is gemaakt van CVE-2023-37580. De link in de e-mail wijst op het moment van schrijven naar een pagina die de melding "Acces denied" geeft.
Daarnaast is in Zimbra 10.0.2, 9.0.0 en 8.8.15 een beveiligingslek verholpen aangeduid als CVE-2023-38750. Een "bug die interne JSP- en XML-bestanden kan openbaren", aldus de beschrijving. Volgens beveiligingsonderzoeker Ivan Kwiatkowski gaat het om een kwetsbaarheid die een aanvaller willekeurige bestanden laat lezen en in het geval van Zimbra zich vertaalt naar remote code execution, waardoor een aanvaller kwetsbare servers kan overnemen. De impact van de kwetsbaarheid is nog niet berekend.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.