Des vulnérabilités de sécurité ont été découvertes dans le logiciel de collaboration par courriel Zimbra. Leur exploitation pourra conduire à la compromission des comptes de messagerie en envoyant un message malveillant et même la prise de contrôle complète du serveur de messagerie lorsqu'il est hébergé sur une infrastructure cloud.

Zimbra est une suite de messagerie, de calendrier et de collaboration basée sur le cloud pour les entreprises. Elle est disponible à la fois en version open-source et en version commerciale avec des fonctionnalités supplémentaires.

Suivies sous les noms de CVE-2021-35208 et CVE-2021-35209, les failles ont été découvertes et signalées dans Zimbra 8.8.15 par des chercheurs du fournisseur de solutions de qualité de code et de sécurité SonarSource

"Une combinaison de ces vulnérabilités pourrait permettre à un attaquant non authentifié de compromettre un serveur Webmail Zimbra complet d'une organisation ciblée", a déclaré Simon Scannell, chercheur en vulnérabilités chez SonarSource, qui a identifié les failles de sécurité. "En conséquence, un attaquant obtiendrait un accès illimité à tous les e-mails envoyés et reçus de tous les employés."

CVE-2021-35208 est une vulnérabilité XSS dans le composant Calendar Invite qui peut être déclenchée dans le navigateur d'une victime lors de la visualisation d'un message électronique spécialement conçu contenant un payload JavaScript qui, lorsqu'elle est exécutée, donne accès à l'ensemble de la boîte de réception de la cible ainsi qu'à la session du client Web, qui peut ensuite être utilisée pour lancer d'autres attaques.

D'autre part, CVE-2021-35209 concerne une faille SSRF (Server-side request forgery) dans laquelle un membre authentifié d'une organisation peut enchaîner la faille avec le problème XSS susmentionné pour rediriger le client HTTP utilisé par Zimbra vers une URL arbitraire et extraire des informations sensibles du cloud, y compris les jetons d'accès à l'API Google Cloud et les informations d'identification IAM d'AWS, conduisant à sa compromission.

L'équipe de Zimbra a corrigé les deux problèmes, avec le correctif 18 pour la série 8.8.15 et le correctif 16 pour la série 9.0. Les utilisateurs sont alors priés d’appliquer le correctif approprié.