A estas falhas foram atribuidos os CVE-2021-35208 e CVE-2021-35209, tratando-se de uma falha de XSS persistente e SSRF (Server Side Request Forgery), respetivamente.

A falha de XSS reside no ficheiro ZmMailMsgView.js, que é um componente do Calendar Invite, do Zimbra Collaboration Suite.

Já a falha de SSRF encontra-se no ficheiro ProxyServlet.java do servlet /proxy do mesmo produto

Versões afetadas do Zimbra Collaboration Suite

8.8.x

Impacto

Qualquer atacante não autenticado, se combinar estas falhas, consegue adquirir o controlo total do servidor de email através do comprometimento de contas de email com o envio de uma mensagem maliciosa

Versões corrigidas

8.8.15 Patch 23

9.0.0 Patch 16

Mais informações sobre a atualização: https://zimbra.github.io/installguides/latest/upgrade.html