CVE-2026-33373 Synacor — эксплойт и детали уязвимости HIGH

Параметр	Значение
CVSS	8,8 (HIGH)
Уязвимые версии	10.0.0 — 10.1.13
Устранено в версии	10.0.18
Тип уязвимости	CWE-352 (Подделка межсайтовых запросов (CSRF))
Поставщик	Synacor
Публичный эксплойт	Нет

Проблема была обнаружена в Zimbra Collaboration (ZCS) 10.0 и 10.1. В веб-клиенте Zimbra существует уязвимость подделки межсайтовых запросов (CSRF) из-за выдачи токенов аутентификации без защиты CSRF во время определенных переходов состояний учетной записи. В частности, токены, созданные после таких операций, как включение двухфакторной аутентификации или смена пароля, могут не обеспечивать применение CSRF.

Пока такой токен активен, аутентифицированные запросы SOAP, которые запускают генерацию токена или изменение состояния, могут выполняться без проверки CSRF. Злоумышленник может воспользоваться этим, побудив жертву отправить специально созданные запросы, что потенциально позволит выполнить конфиденциальные действия с учетной записью, такие как отключение двухфакторной аутентификации. Проблема решается за счет обеспечения последовательного применения защиты CSRF для всех выпущенных токенов аутентификации.

Показать оригинальное описание (EN)

An issue was discovered in Zimbra Collaboration (ZCS) 10.0 and 10.1. A Cross-Site Request Forgery (CSRF) vulnerability exists in Zimbra Web Client due to the issuance of authentication tokens without CSRF protection during certain account state transitions. Specifically, tokens generated after operations such as enabling two-factor authentication or changing a password may lack CSRF enforcement. While such a token is active, authenticated SOAP requests that trigger token generation or state changes can be performed without CSRF validation. An attacker could exploit this by inducing a victim to submit crafted requests, potentially allowing sensitive account actions such as disabling two-factor authentication. The issue is mitigated by ensuring CSRF protection is consistently enforced for all issued authentication tokens.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Нужны права

Не требуются

Права не нужны

Участие пользователя

Требуется

Нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Высокое

Полная модификация данных

Доступность

Высокое

Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-352 Cross-Site Request Forgery (CSRF) (Подделка межсайтовых запросов (CSRF))

Уязвимые продукты 2

Конфигурация	От (включительно)	До (исключительно)
Synacor Zimbra_Collaboration_Suite cpe:2.3:a:synacor:zimbra_collaboration_suite::::::::	`10.0.0`	`10.0.18`
Synacor Zimbra_Collaboration_Suite cpe:2.3:a:synacor:zimbra_collaboration_suite::::::::	`10.1.0`	`10.1.13`