-
09/04/2020
-
93
-
600 bài viết
Lỗ hổng trong Zimbra cho phép truy cập không xác thực
Một lỗ hổng vừa được phát hiện trong bộ giải pháp Zimbra Collaboration Suite (Zimbra) cho phép kẻ tấn công không được xác thực có quyền truy cập vào tài khoản Zimbra.
Đây là bộ giải pháp hoàn chỉnh dành cho doanh nghiệp giúp quản lý và chia sẻ công việc với nhiều tính năng như thư điện tử, lịch làm việc, sổ địa chỉ...
Lỗ hổng có mã định danh CVE-2023-41106 là một lỗi one click, có thể bị khai thác bằng cách gửi liên kết độc hại để lừa người dùng Zimbra click vào, từ đó cung cấp thông tin đăng nhập để tin tặc truy cập vào tài khoản của họ. Hậu quả là, người dùng sẽ bị chiếm đoạt tài khoản và bị xâm phạm các dữ liệu bí mật.
Lỗ hổng CVE-2023-41106 ảnh hưởng đến tất cả các phiên bản của Zimbra Collaboration, bao gồm cả phiên bản mới nhất là Daffodil 10.0.3 và được xử lý trong các bản vá sau:
Đây là bộ giải pháp hoàn chỉnh dành cho doanh nghiệp giúp quản lý và chia sẻ công việc với nhiều tính năng như thư điện tử, lịch làm việc, sổ địa chỉ...
Lỗ hổng có mã định danh CVE-2023-41106 là một lỗi one click, có thể bị khai thác bằng cách gửi liên kết độc hại để lừa người dùng Zimbra click vào, từ đó cung cấp thông tin đăng nhập để tin tặc truy cập vào tài khoản của họ. Hậu quả là, người dùng sẽ bị chiếm đoạt tài khoản và bị xâm phạm các dữ liệu bí mật.
Lỗ hổng CVE-2023-41106 ảnh hưởng đến tất cả các phiên bản của Zimbra Collaboration, bao gồm cả phiên bản mới nhất là Daffodil 10.0.3 và được xử lý trong các bản vá sau:
- Daffodil 10.0.3
- 9.0.0 Kepler bản vá 35
- 8.8.15 Joule bản vá 42
- Không nhấp vào bất kỳ liên kết nào từ các nguồn không đáng tin cậy
- Cân nhắc khi nhập thông tin quan trọng vào biểu mẫu trên các trang web
- Kích hoạt xác thực hai yếu tố cho tài khoản Zimbra
Theo Security Online