anonhaven

CVE-2026-33369

MEDIUM CVSS 3.1: 4,3 EPSS 0.06%
Обновлено 24 марта 2026
Zimbra
Параметр Значение
CVSS 4,3 (MEDIUM)
Тип уязвимости CWE-20 (Неправильная проверка ввода)
Поставщик Zimbra
Публичный эксплойт Нет

Zimbra Collaboration (ZCS) 10.0 и 10.1 содержит уязвимость внедрения LDAP в службу SOAP почтовых ящиков в рамках операции FolderAction. Приложению не удается должным образом очистить вводимые пользователем данные перед включением их в поисковый фильтр LDAP. Злоумышленник, прошедший проверку подлинности, может воспользоваться этой проблемой, отправив созданный запрос SOAP, который манипулирует запросом LDAP и позволяет получить конфиденциальные атрибуты каталога.

Показать оригинальное описание (EN)

Zimbra Collaboration (ZCS) 10.0 and 10.1 contains an LDAP injection vulnerability in the Mailbox SOAP service within a FolderAction operation. The application fails to properly sanitize user-supplied input before incorporating it into an LDAP search filter. An authenticated attacker can exploit this issue by sending a crafted SOAP request that manipulates the LDAP query, allowing retrieval of sensitive directory attributes.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-20 Improper Input Validation (Неправильная проверка ввода)

Ссылки 4

https://wiki.zimbra.com/wiki/Security_Center
cve@mitre.org
https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.16#Security_Fixes
cve@mitre.org
https://wiki.zimbra.com/wiki/Zimbra_Responsible_Disclosure_Policy
cve@mitre.org
https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
cve@mitre.org
Share Post Share Share Share