CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2022-41352

CVSS 9.8v3.1pub. 2022-09-26upd. 2025-11-03

An issue was discovered in Zimbra Collaboration (ZCS) 8.8.15 and 9.0. An attacker can upload arbitrary files through amavis via a cpio loophole (extraction to /opt/zimbra/jetty/webapps/zimbra/public) that can lead to incorrect access to any other user accounts. Zimbra recommends pax over cpio. Also, pax is in the prerequisites of Zimbra on Ubuntu; however, pax is no longer part of a default Red Hat installation after RHEL 6 (or CentOS 6). Once pax is installed, amavis automatically prefers it over cpio.

oryginał EN
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Synacor Zimbra Collaboration Suite

    APP
    Synacor
    8.8.159.0.0

CISA KEV — szczegółyi

Dostawcai
Synacor
Produkti
Zimbra Collaboration Suite (ZCS)
Data dodania do KEVi
20 października 2022
Termin remediation (USA)i
10 listopada 2022(po terminie)
Wymagana akcja (CISA)i

Zastosuj aktualizacje zgodnie z instrukcjami dostawcy.

tłumaczenie AI
Pokaż oryginał (EN)

Apply updates per vendor instructions.

Opis CISAi

Synacor Zimbra Collaboration Suite (ZCS) pozwala atakującemu na załadowanie dowolnych plików przy użyciu pakietu cpio w celu uzyskania nieprawidłowego dostępu do kont innych użytkowników.

tłumaczenie AI
Pokaż oryginał (EN)

Synacor Zimbra Collaboration Suite (ZCS) allows an attacker to upload arbitrary files using cpio package to gain incorrect access to any other user accounts.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 10 listopada 2022
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2024-45519CRITICAL10.0⚠ KEVPL ✓ten sam produkt

RCE w usłudze postjournal Zimbra Collaboration Suite — command injection bez uwierzytelnienia

CVE-2023-34192CRITICAL9.0⚠ KEVten sam produkt

Cross Site Scripting vulnerability in Zimbra ZCS v.8.8.15 allows a remote authenticated attacker to execute ar...

CVE-2022-37042CRITICAL9.8⚠ KEVten sam produkt

Zimbra Collaboration Suite (ZCS) 8.8.15 and 9.0 has mboximport functionality that receives a ZIP archive and e...

CVE-2020-7796CRITICAL9.8⚠ KEVten sam produkt

Zimbra Collaboration Suite (ZCS) before 8.8.15 Patch 7 allows SSRF when WebEx zimlet is installed and zimlet J...

CVE-2019-9670CRITICAL9.8⚠ KEVten sam produkt

mailboxd component in Synacor Zimbra Collaboration Suite 8.7.x before 8.7.11p10 has an XML External Entity inj...