Page 9 of 57 results (0.006 seconds)

CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0

A cross-site scripting (XSS) vulnerability in Web Client in Zimbra 9.0 allows a remote attacker to craft links in an E-Mail message or calendar invite to execute arbitrary JavaScript. The attack requires an A element containing an href attribute with a "www" substring (including the quotes) followed immediately by a DOM event listener such as onmouseover. This is fixed in 9.0.0 Patch 2. Una vulnerabilidad de tipo cross-site scripting (XSS) en Web Client en Zimbra versión 9.0, permite a un atacante remoto diseñar enlaces en un mensaje de Correo Electrónico o en un calendario que invite a ejecutar JavaScript arbitrario. El ataque requiere un elemento A que contiene un atributo href con una subcadena "www" (incluyendo las comillas) seguido inmediatamente por un escuchador de eventos DOM tal y como onmouseover. • https://blog.zimbra.com/2020/05/new-zimbra-9-kepler-patch-2 https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P2 https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 6.5EPSS: 0%CPEs: 9EXPL: 0

cs/service/account/AutoCompleteGal.java in Zimbra zm-mailbox before 8.8.15.p8 allows authenticated users to request any GAL account. This differs from the intended behavior in which the domain of the authenticated user must match the domain of the galsync account in the request. El archivo cs/service/account/AutoCompleteGal.java en zm-mailbox versiones anteriores a 8.8.15.p8, permite a usuarios autenticados solicitar cualquier cuenta GAL. Esto difiere del comportamiento previsto en el cual el dominio del usuario autenticado debe coincidir con el dominio de la cuenta galsync en la petición. • https://github.com/Zimbra/zm-mailbox/commit/1df440e0efa624d1772a05fb6d397d9beb4bda1e https://github.com/Zimbra/zm-mailbox/compare/8.8.15.p7...8.8.15.p8 https://github.com/Zimbra/zm-mailbox/pull/1020 • CWE-862: Missing Authorization •

CVSS: 6.1EPSS: 2%CPEs: 1EXPL: 3

Zimbra 2013 has XSS in aspell.php Zimbra 2013, presenta una vulnerabilidad de tipo XSS en el archivo aspell.php. • https://www.exploit-db.com/exploits/38436 http://www.openwall.com/lists/oss-security/2013/04/09/14 http://www.openwall.com/lists/oss-security/2013/04/09/15 http://www.securityfocus.com/bid/58913 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0

Zimbra Collaboration 8.7.x - 8.8.11P2 contains persistent XSS. Zimbra Collaboration versiones 8.7.x - 8.8.11P2, contiene una vulnerabilidad de tipo XSS persistente. • https://bugzilla.zimbra.com/show_bug.cgi?id=109122 https://bugzilla.zimbra.com/show_bug.cgi?id=109123 https://bugzilla.zimbra.com/show_bug.cgi?id=109124 https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0

Zimbra Collaboration 8.7.x - 8.8.11P2 contains persistent XSS. Zimbra Collaboration versiones 8.7.x - 8.8.11P2, contiene una vulnerabilidad de tipo XSS persistente. • https://bugzilla.zimbra.com/show_bug.cgi?id=109122 https://bugzilla.zimbra.com/show_bug.cgi?id=109123 https://bugzilla.zimbra.com/show_bug.cgi?id=109124 https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •