Zimbra Collaboration Suite (ZCS)

Die Schwachstelle betrifft die klassische Weboberfläche (Webmail) der Zimbra Collaboration Suite. Sie liegt in der Funktion für Kalendereinladungen (CalendarInvite), die eingehende Kalenderdaten unzureichend prüft. Konkret werden die Inhalte der Kalender-Kopfzeile nicht ausreichend bereinigt, bevor sie im Browser dargestellt werden. Ein Angreifer kann das ausnutzen, indem er eine E-Mail verschickt, deren Kalender-Kopfzeile einen präparierten Schadcode (XSS-Payload) enthält. Öffnet das Opfer diese Nachricht in der klassischen Weboberfläche, wird der eingeschleuste JavaScript-Code im Kontext der Sitzung des Opfers ausgeführt. Dadurch kann der Angreifer im Namen des angemeldeten Nutzers agieren – etwa auf dessen Postfach zugreifen, Sitzungsdaten abgreifen oder weitere Aktionen in der Webmail auslösen. Es handelt sich um eine Cross-Site-Scripting-Lücke (XSS), die allein durch das Betrachten einer manipulierten E-Mail wirkt und keine weitere Interaktion des Opfers erfordert.