Проблема была обнаружена в Zimbra Collaboration (ZCS) 10.0 и 10.1. В Zimbra Webmail существует уязвимость подделки межсайтовых запросов (CSRF) из-за неправильной проверки токенов CSRF. Приложение принимает токены CSRF, предоставленные в теле запроса, вместо того, чтобы запрашивать их через ожидаемый заголовок запроса.
Злоумышленник может воспользоваться этой проблемой, обманом заставив аутентифицированного пользователя отправить созданный запрос. Это может позволить выполнять несанкционированные действия от имени жертвы.
Показать оригинальное описание (EN)
An issue was discovered in Zimbra Collaboration (ZCS) 10.0 and 10.1. A cross-site request forgery (CSRF) vulnerability exists in Zimbra Webmail due to improper validation of CSRF tokens. The application accepts CSRF tokens supplied within the request body instead of requiring them through the expected request header. An attacker can exploit this issue by tricking an authenticated user into submitting a crafted request. This may allow unauthorized actions to be performed on behalf of the victim.
Характеристики атаки
Последствия
Строка CVSS v3.1