Zimbra 软件曝新漏洞，发送恶意邮件即可劫持Zimbra 服务器

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

这些缺陷是CVE-2021-35208和CVE-2021-35209位于Zimbra 8.8.15版本中，缓解措施已于 Zimbra 版本8.8.15 Patch 23 和 9.0.0 Patch 16 中发布。CVE-2021-35208 的CVSS 评分为5.4，是位于 ZmMailMsgView.java 中的存储型 XSS 漏洞；CVE-2021-35209 的CVSS 评分为6.1，是一个代理伺服小程序的开放重定向漏洞。

未认证攻击者可组合利用这些漏洞攻陷目标组织机构的完整的 Zimbra webmail 服务器，导致攻击者获得对所有员工所发送和接受邮件的无限制访问权限。

Zimbra 是为企业设置的基于云的邮件、日历和协作套件，同时提供开源版本和商用版本。商用版本提供额外特性如和微软 Outlook 等同步邮件、日历和通讯录的专属连接器API。该产品的用户遍布160个国家的20多万家企业。

CVE-2021-35208 是位于Calendar Invite 组件中的一个跨站点脚本漏洞，用户查看包含 JavaScript payload 的特殊构造邮件信息时就会在受害者浏览器zhong 触发，如遭执行，则可获得对目标的整个收件箱以及 web 客户端会话的访问权限，从而被滥用于执行更多的攻击。

该缺陷产生的原因在于，Zimbra web 客户端是一款基于 Ajax 的桌面客户端、一款静态 HTML 客户端和一款移动优化客户端，它在服务器端清理所收到邮件的 HTML 内容，其处理方式可使恶意人员注入恶意的 JavaScript 代码，“使用服务器端清理的缺点在于，所有的三个客户端之后可能会以独特的方式改变邮件的受信任 HTML 以进行展示。对已经清理的 HTML 输入进行更改可导致 HTML 损坏从而导致 XSS 攻击。

CVE-2021-35209 和服务器端伪造请求攻击有关，组织机构未经认证的成员可组合利用之前提到的XSS 缺陷，将 Zimbra 使用的 HTTP 客户端重定向至任意URL 并从云（包括Google Cloud API 访问令牌和AWS 的 IAM 凭据）提取敏感信息，从而导致遭攻陷。

Zimbra 发布安全公告表示，“Zimbra 提醒客户，可能会在 Proxy Servlet 中引入 SSRF 安全漏洞。如果该伺服小程序配置为允许某特定域名且该域名解析至某IP地址（如127.0.0.1），则攻击者很可能访问在同样服务器上不同端口上运行的服务，而在正常情况下这些服务不会被暴露。