Ce rapide billet pour vous informer d’une faille XSS dans les versions 8.6p4 et antérieurs.

Ce sont nos amis de Fortigate qui sont à l’origine de cette decouverte, il s’avère que la imlet com zimbra url est un peu trop large dans sa sélection d’URL.

Si vous êtes en version 8.6 de Zimbra, je vous conseille d’upgrader au patch 6 afin de corriger cette faille, pour les autres, un patch est disponible à cette adresse.

Ceci n’est pas un patch officiel, mais il corrige la faille en changeant simplement la regex de sélection d’URL.

Frédéric Maussion

Frédéric fait partie de Zimbra en tant que specialiste produit sur Zimbra Collaboration pour l'EMEA. Si vous le rencontrez à un de nos évènements, n'hésitez pas à lui parler, il sera heureux de répondre à vos questions.

Zimbra Collaboration 8.6p4 et anterieurs (CWE-79) – Faille XSS
Étiqueté avec :            

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *