Zimbra Collaboration Suite (ZCS)

Die Schwachstelle steckt im klassischen Web-Client (Classic Web Client) der Zimbra Collaboration Suite von Synacor und ist eine gespeicherte Cross-Site-Scripting-Lücke (XSS). Ursache ist, dass HTML-Inhalte in ICS-Dateien – also Kalendereinträgen – nicht ausreichend bereinigt werden. Ein Angreifer versendet eine E-Mail mit einem präparierten Kalendereintrag; sobald das Opfer die Nachricht betrachtet, wird darin eingebetteter JavaScript-Code ausgeführt. Ausgelöst wird er über ein ontoggle-Ereignis innerhalb eines aufklappbaren HTML-Elements. Der Schadcode läuft dann im Kontext der angemeldeten Sitzung des Opfers, sodass der Angreifer in dessen Namen handeln kann – ohne eigene Zugangsdaten. So lassen sich etwa E-Mail-Filter anlegen, die eingehende Nachrichten an eine vom Angreifer kontrollierte Adresse umleiten. Im Ergebnis kann der Angreifer unbefugte Aktionen auf dem Konto durchführen, Nachrichten umleiten und Daten abfließen lassen. Betroffen sind Anwender, die den klassischen Web-Client zum Lesen ihrer E-Mails nutzen.