CVE-2025-27915


október 8. 14:00

Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
Angol cím: Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting Vulnerability

Publikálás dátuma: 2025.10.08.
Utolsó módosítás dátuma: 2025.10.08.

Leírás

A program nem, vagy nem megfelelően szűri a felhasználó által megadott bemeneti adatokat, mielőtt azt átadná más felhasználókat kiszolgáló weblap részére.

Leírás forrása: CWE-79 Leírás utolsó módosítása: 2025.09.09.

Elemzés leírás

Eredeti nyelven:

An issue was discovered in Zimbra Collaboration (ZCS) 9.0 and 10.0 and 10.1. A stored cross-site scripting (XSS) vulnerability exists in the Classic Web Client due to insufficient sanitization of HTML content in ICS files. When a user views an e-mail message containing a malicious ICS entry, its embedded JavaScript executes via an ontoggle event inside a <details> tag. This allows an attacker to run arbitrary JavaScript within the victim’s session, potentially leading to unauthorized actions such as setting e-mail filters to redirect messages to an attacker-controlled address. As a result, an attacker can perform unauthorized actions on the victim’s account, including e-mail redirection and data exfiltration.

Elemzés leírás forrása: CVE-2025-27915 Elemzés leírás utolsó módosítása: 2025.10.07.

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 5.4 (Közepes)
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Impact Score: 2.7
Exploitability Score: 2.3

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): Low
User Interaction (UI): Required
Scope (S): Changed
Confidentiality Impact (C): Low
Integrity Impact (I): Low
Availability Impact (A): None

Következmények

Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

strikeready.com
zimbra.com
zimbra.com
zimbra.com
zimbra.com

Sérülékeny szoftverek

Configuration 1
 cpe:2.3:a:zimbra:collaboration:9.0.0:-:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p0:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p1:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p10:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p11:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p12:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p13:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p14:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p15:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p16:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p19:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p2:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p20:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p21:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p23:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p24:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p24.1:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p25:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p26:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p27:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p28:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p29:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p3:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p30:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p31:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p32:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p33:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p34:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p35:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p36:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p37:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p38:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p39:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p4:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p40:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p41:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p42:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p43:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p5:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p6:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p7:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p7.1:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p8:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:9.0.0:p9:*:*:*:*:*:*

 cpe:2.3:a:zimbra:collaboration:*:*:*:*:*:*:*:* From (including) Up to (excluding)
10.0.0 10.0.13
 cpe:2.3:a:zimbra:collaboration:*:*:*:*:*:*:*:* From (including) Up to (excluding)
10.1.0 2010.01.05

Címkék

Collaboration Server Zimbra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-7656 – Google Chrome sérülékenysége
CVE-2025-6541 – TP-Link sérülékenysége
CVE-2025-61884 – Oracle E-Business Suite Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2025-2747 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2025-2746 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2022-48503 – Apple Multiple Products Unspecified sérülékenysége
CVE-2025-61932 – Motex LANSCOPE Endpoint Manager sérülékenysége
CVE-2025-54957 – Dolby UDC out-of-bounds write sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
Tovább a sérülékenységekhez »