Am 13.07.2023 informierte Synacor per E-Mail über eine Sicherheitslücke im Quelltext des Mobile Web UI, die es Angreifern ermöglicht, Schadcode auf dem System auszuführen. Betroffen ist Zimbra Collaboration Suite Version 8.8.15. Die offizielle Seite https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories enthält darüber noch keine Informationen.
Um die Sicherheitslücke zu schließen, wird in der E-Mail auf die manuelle Änderung der entsprechenden Datei verwiesen: https://github.com/Zimbra/zm-web-client/pull/827
Zeile 40 der Datei /opt/zimbra/jetty/webapps/zimbra/m/momoveto muss von bisher
<input name="st" type="hidden" value="${param.st}"/>
in
<input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>
geändert werden. Ein Neustart ist nicht nötig.
Die manuelle Änderung lässt sich bequem folgendermaßen ausführen:
# as rootsudo su -
# make backup of /opt/zimbra/jetty/webapps/zimbra/m/momovetocp /opt/zimbra/jetty/webapps/zimbra/m/momoveto /tmp/momoveto.backup
# check "param.st"grep param.st /tmp/momoveto.backup
# apply fixsed -i 's/param.st/fn:escapeXml(param.st)/' /opt/zimbra/jetty/webapps/zimbra/m/momoveto
# check "param.st"grep param.st /tmp/momoveto.backup
# remove backuprm -f /tmp/momoveto.backup
