Zimbra Collaboration Suite (ZCS)

Die Schwachstelle betrifft die Zimbra Collaboration Suite (ZCS) von Synacor, eine Plattform für E-Mail und Zusammenarbeit. Es handelt sich um eine Cross-Site-Scripting-Lücke (XSS), die in der Funktion zum automatischen Speichern von E-Mail-Entwürfen sitzt. Ein angemeldeter Angreifer kann aus der Ferne ein speziell präpariertes Skript an diese Funktion übergeben. Weil die Anwendung die übermittelten Inhalte nicht ausreichend bereinigt, wird der eingeschleuste Schadcode anschließend im Kontext der Anwendung ausgeführt. Auf diesem Weg lässt sich beliebiger Code zur Ausführung bringen. Voraussetzung ist ein gültiges Benutzerkonto, eine Anmeldung muss also bereits bestehen. Über das eingeschleuste Skript kann der Angreifer Aktionen im Namen anderer Nutzer auslösen, Sitzungsdaten abgreifen oder weitere Angriffe innerhalb der Web-Oberfläche vorbereiten. Betroffen sind Organisationen, die diese Groupware für ihre E-Mail-Kommunikation einsetzen.