Esta semana, o Zimbra lançou correções para uma vulnerabilidade de script entre sites (XSS) no Collaboration Suite que foi explorada em ataques maliciosos.
Rastreada como CVE-2023-37580, a vulnerabilidade foi divulgada no início deste mês, quando o Zimbra recomendou o patch manual para a versão 8.8.15 da popular solução de e-mail e colaboração.
Nenhum identificador CVE foi emitido para a falha na época, mas Clement Lecigne, do Grupo de Análise de Ameaças (TAG) do Google, disse que a exploração em estado selvagem foi observada.
Esta semana, a Zimbra anunciou atualizações de software para as versões 8.8.15, 9.0.0 e 10.0.x do Zimbra Collaboration Suite. Uma correção para o bug de segurança explorado foi incluída na versão 8.8.15 patch 41 da solução.
“Uma vulnerabilidade de cross-site scripting (XSS) que estava presente no Zimbra Classic Web Client foi corrigida”, observa Zimbra em seu consultivo.
A atualização resolve duas outras vulnerabilidades no pacote, a saber, CVE-2023-38750, um problema que leva à exposição de arquivos JSP e XML internos, e CVE-2023-0464, um bug “relacionado à verificação de cadeias de certificados X.509 que incluem restrições de política” no OpenSSL.
Patches para as duas últimas falhas foram incluídos no Zimbra Collaboration Suite versões 10.0.2 e 9.0.0 patch 34 também. CVE-2023-37580, no entanto, afeta apenas a versão 8.8.15 da solução.
Informações adicionais sobre as atualizações de software podem ser encontradas em Centro de segurança do Zimbra página da Internet.
Na quinta-feira, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) anunciou que adicionou o CVE-2023-37580 ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas.
“Esses tipos de vulnerabilidades são vetores de ataque frequentes para cibercriminosos e representam riscos significativos para a empresa federal”, observa a CISA.
De acordo com a Diretriz Operacional Vinculante (BOD) 22-01, as agências federais são obrigadas a identificar vulnerabilidades adicionadas à lista ‘Must Patch’ da CISA e aplicar as correções disponíveis dentro de três semanas. Nesse caso, os patches devem ser aplicados até 17 de agosto de 2023.