一、 漏洞 CVE-2024-9665 基础信息
漏洞标题
Zimbra GraphQL存在跨站请求伪造信息泄露漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Zimbra GraphQL 跨站请求伪造信息泄露漏洞。该漏洞允许远程攻击者泄露受影响的 Zimbra 安装中的敏感信息。利用此漏洞需要用户交互,即目标用户必须打开恶意电子邮件信息。
具体缺陷存在于 graphql 接口的实现中。问题源于缺乏对跨站请求伪造(CSRF)攻击的有效防护。攻击者可以利用此漏洞泄露目标电子邮件账户上下文中的信息。编号为 ZDI-CAN-23939。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
跨站请求伪造(CSRF)
来源:AIGC 神龙大模型
漏洞标题
Zimbra GraphQL Cross-Site Request Forgery Information Disclosure Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Zimbra GraphQL Cross-Site Request Forgery Information Disclosure Vulnerability. This vulnerability allows remote attackers to disclose sensitive information on affected installations of Zimbra. User interaction is required to exploit this vulnerability in that the target must open a malicious email message.
The specific flaw exists within the implementation of the graphql endpoint. The issue results from the lack of proper protections against cross-site request forgery (CSRF) attacks. An attacker can leverage this vulnerability to disclose information in the context of the target email account. Was ZDI-CAN-23939.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
跨站请求伪造(CSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
Zimbra 跨站请求伪造漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Zimbra是Zimbra公司的一套开源的电子邮件协作平台。 Zimbra存在跨站请求伪造漏洞。攻击者利用该漏洞可以获取敏感信息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站请求伪造
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-9665 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-9665 的情报信息
-
-
标题: Patch Release: Reminders for missing attachments, out-of-office notifications, Traffic Light Protocol (TLP), and mailto links. - Zimbra : Blog -- 🔗来源链接
标签: vendor-advisory
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-9665