可用-网络

CISA 将 Zimbra 电子邮件漏洞添加到被利用漏洞目录中

  • 浏览次数 18663
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

Zimbra

8月4日,美国网络安全和基础设施安全局(CISA)在其已知利用漏洞目录中添加了最近披露的Zimbra电子邮件中的高危漏洞,有证据表明该漏洞被积极利用。

追踪为CVE-2022-27924(CVSS评分:7.5),这是平台中的命令注入漏洞,可能导致执行任意Memcached命令并窃取敏感信息。

CISA表示:“Zimbra Collaboration允许攻击者将memcached命令注入目标实例,从而导致任意缓存条目的覆盖。”

具体而言,该漏洞与用户输入验证不足有关,如果成功利用该漏洞,攻击者可以从目标Zimbra实例的用户那里窃取明文凭据。

SonarSource于6月披露了该漏洞,2022年5月10日Zimbra发布了8.8.15版本P31.1和9.0.0版本P24.1的补丁

CISA尚未透露在野外利用该漏洞进行攻击的技术细节,也尚未将其归因于某个黑客。

鉴于该漏洞被积极利用,建议用户对软件进行更新,以减少潜在的网络攻击。

 

消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文