Zimbra Collaborate Suite (ZCS)

Die Schwachstelle steckt in der Kalender-Funktion der Zimbra Collaborate Suite (ZCS) von Synacor, einer Plattform für E-Mail und Zusammenarbeit. Es handelt sich um Cross-Site-Scripting: Ein Angreifer kann HTML mit ausführbarem JavaScript in den Attributen von Elementen unterbringen. Diese Markup-Bestandteile werden von der Anwendung nicht ordnungsgemäß maskiert, sodass der eingeschleuste Code unverändert in die dargestellte Seite gelangt und im Browser des Opfers ausgeführt wird. Auf diese Weise lässt sich beliebiger Code im Kontext der Zimbra-Oberfläche ausführen – etwa um Sitzungen zu übernehmen, im Namen des Nutzers zu handeln oder an dargestellte Inhalte zu gelangen. Betroffen sind Anwender, die manipulierte Kalenderinhalte öffnen oder anzeigen. Da die Lücke in einer weit verbreiteten Groupware sitzt und bereits aktiv ausgenutzt wurde, ist jede Installation mit der verwundbaren Kalender-Funktion gefährdet.