Проблема была обнаружена в Zimbra Collaboration (ZCS) 10.0 и 10.1. В интерфейсе SOAP веб-служб Zimbra Exchange (EWS) существует уязвимость внешнего объекта XML (XXE) из-за неправильной обработки ввода XML. Злоумышленник, прошедший проверку подлинности, может отправить созданные данные XML, которые обрабатываются анализатором XML с включенным разрешением внешних объектов.
Успешная эксплуатация может позволить раскрыть конфиденциальные локальные файлы с сервера.
Показать оригинальное описание (EN)
An issue was discovered in Zimbra Collaboration (ZCS) 10.0 and 10.1. An XML External Entity (XXE) vulnerability exists in the Zimbra Exchange Web Services (EWS) SOAP interface due to improper handling of XML input. An authenticated attacker can submit crafted XML data that is processed by an XML parser with external entity resolution enabled. Successful exploitation may allow disclosure of sensitive local files from the server.
Характеристики атаки
Последствия
Строка CVSS v3.1