Zimbra Collaboration Suite (ZCS)

Die Schwachstelle betrifft die Groupware Zimbra Collaboration Suite (ZCS) von Synacor und sitzt im sogenannten Classic Web Client, der klassischen Web-Oberfläche, über die Nutzer ihre E-Mails und Kalender im Browser bedienen. Es handelt sich um eine Cross-Site-Scripting-Lücke (XSS): Ein Angreifer kann schädlichen Skriptcode so präparieren, dass er beim Aufruf durch ein Opfer in dessen Browser im Kontext der Zimbra-Oberfläche ausgeführt wird. Auf diesem Weg lassen sich Inhalte der Sitzung auslesen oder verändern – betroffen sind also sowohl die Vertraulichkeit als auch die Integrität der verarbeiteten Daten. Praktisch kann ein Angreifer damit etwa auf angezeigte Informationen zugreifen, im Namen des angemeldeten Nutzers Aktionen auslösen oder dargestellte Inhalte manipulieren. Betroffen sind Organisationen, die den klassischen Web-Client von Zimbra für ihren E-Mail-Verkehr einsetzen.