Zimbra Collaboration Suite (ZCS)

Die Schwachstelle steckt in der Zimbra Collaboration Suite (ZCS) von Synacor, einer Plattform für E-Mail und Zusammenarbeit. Es handelt sich um eine Cross-Site-Scripting-Lücke (XSS) in der Funktion, die beim Anzeigen einer E-Mail die Verweise auf Dateianhänge als HTML aufbereitet. Der Fehler entsteht, weil ein bestimmtes Kopffeld eines E-Mail-Anhangs – die sogenannte Content-Location-Angabe – ungeprüft in die erzeugte Webseite übernommen wird. Ein Angreifer kann darin eigenen Schadcode unterbringen: Schickt er dem Opfer eine entsprechend präparierte E-Mail, wird der eingeschleuste Skript- oder HTML-Code im Browser des Empfängers ausgeführt, sobald dieser die Nachricht in der Weboberfläche öffnet. Der Angriff erfolgt aus der Ferne und ohne eigene Anmeldung. Im Kontext der Sitzung des Opfers lassen sich so etwa Aktionen im Namen des Nutzers auslösen oder Sitzungsdaten abgreifen. Betroffen sind Nutzer der Web-Oberfläche von Zimbra.