Edaralar üçin niýetlenen Zimbra elektron poçta programmanyň gowşaklyklary edaranyň iberen we alan elektron poçta habarlaryna çäklendirilmedik rugsat bilen girmek mümkinçiligini berip bilýärler. SonarSource kompaniýanyň hünärmenleriniň sözlerine görä, gowşaklyklaryň ulanylmagy awtorizasiýa bolmadyk ýaramaz niýetli ulanyjy üçin edaranyň poçta serwerine girmek we ähli işgärleriň elektron poçtada saklanýan hatlaryny almak mümkinçiligini berýär.

Birinji mesele (CVE-2021-35208) saýtara skripting gowşaklygy bolup durýar. Gowşaklyk pidanyň ýörite JavaScript kody bilen gelen elektron haty gören ýagdaýynda, ulanylyp bilner.

Şeýle hem, serwer tarapyndan galp ýüzlenmeleri ibermek gowşaklygy (CVE-2021-35209) ýüze çykaryldy. Gowşaklyklaryň bilelikde ulanylmagy tokenleri we ulanyjylaryň hasap ýazgylaryny ogurlamak mümkinçiligini berip bilýär.

Bu gowşaklyklaryň ikisi hem Zimbra 9.0.0 P16 we 8.8.15 P23 wersiýalaryň iýun aýynyň ahyrynda çykmagy bilen düzedildi.

Çeşme: securitylab.ru