Zimbra Collaboration Suite

Die Schwachstelle betrifft die Zimbra Collaboration Suite (ZCS) von Synacor, eine Plattform für E-Mail und Zusammenarbeit. Sie tritt nur unter einer bestimmten Konfiguration auf: wenn das WebEx-Zimlet installiert ist und die JSP-Verarbeitung für Zimlets aktiviert wurde. Unter diesen Voraussetzungen lässt sich eine Server-Side Request Forgery (SSRF) auslösen. Dabei bringt ein Angreifer den Server dazu, in seinem Namen Netzwerkanfragen zu verschicken – der Server wird also als Mittelsmann missbraucht, um Verbindungen aufzubauen, die der Angreifer selbst nicht herstellen könnte. So lassen sich etwa interne, eigentlich abgeschottete Systeme im Netzwerk des Betreibers ansprechen oder abfragen, die von außen gar nicht erreichbar sein sollten. Betroffen sind Installationen, die das genannte Zimlet samt aktivierter JSP-Funktion einsetzen; ohne diese Kombination greift die Lücke nicht.