Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

コラボツール「ZCS」にゼロデイ脆弱性 - アップデートの適用を

Synacorは、コラボレーションツール「Zimbra Collaboration Suite(ZCS)」のセキュリティアップデートをリリースした。一部脆弱性については悪用が確認されている。

現地時間7月26日に「ZCS 10.0.2」「同9.0.0 Patch 34」「同8.8.15 Patch 41」をリリースし、複数の脆弱性を解消したもの。

今回のアップデートでは、内部の「JSPファイル」や「XMLファイル」が外部よりアクセス可能となる「CVE-2023-38750」に対応。「OpenSSL」に明らかとなった「CVE-2023-0464」の修正なども反映されている。

さらに「同8.8.15 Patch 41」では、「Zimbra Classic Web Client」に明らかとなったクロスサイトスクリプティング(XSS)の脆弱性「CVE-2023-37580」を解消した。いずれも共通脆弱性評価システム「CVSSv3」のベーススコアは未評価となっている。

なかでも「CVE-2023-37580」については、すでに悪用が確認されており、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が、現地時間7月27日に「悪用が確認された脆弱性カタログ(KEV)」に追加した。

「ZCS」に関しては、2022年以降に明らかとなった脆弱性だけでも、「CVE-2023-37580」を含む6件が少なくとも悪用されていることが判明しており、攻撃者の標的となっている。過去には、脆弱性を悪用するためのツールなども販売されたケースも確認されている。

(Security NEXT - 2023/07/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

LLMキャッシュ管理ツールにRCE脆弱性 - キャッシュ汚染に起因
プリント管理ソフト「Xerox FreeFlow Core」に深刻な脆弱性
「Amazon EMR」に深刻な脆弱性 - 資格情報漏洩のおそれ
N-ableのIT管理ツールにゼロデイ脆弱性 - 米当局が悪用に注意喚起
「GitLab」にアップデート - 12件の脆弱性を解消
「ICS」や「Avalanche」などIvanti複数製品に脆弱性
SAP、月例アドバイザリを公開 - 複数の「クリティカル」脆弱性
民泊事業者情報をサイトで誤公開、ファイル内に残存 - 北海道
Fortinet、「FortiOS」に関する複数の脆弱性を解消
「FortiSIEM」に深刻なRCE脆弱性 - 実用的な悪用コードも

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.