ZIMBRA dans la tourmente
Une faille zero day non corrigée
C’est au tour de la messagerie ZIMBRA, solution open source d’être victime d’une faille zero day. Référencée sous la vulnérabilité CVE-2022-41352, non corrigée à ce jour, les attaquants peuvent écraser ou télécharger des fichiers et peuvent même aller jusqu’à effacer la racine WEB de Zimbra.
Déjà en février dernier, une faille zero day avait été exploitée envers les Etats Européens sur cette solution de messagerie. Cette fois, la faille est classée 9.8 sur 10 sur l’échelle de score CVSS. Elle représente un vrai problème de sécurité car elle permet potentiellement aussi d’accéder aux comptes mails d’autres utilisateurs et de télécharger des fichiers.
Zimbra a publié un avis de sécurité le 14 septembre pour prévenir les administrateurs d’installer l’utilitaire Pax :
La liste des OS vulnérables à cette faille a été établie par des chercheurs de sécurité. Il est vivement conseillé de vérifier cette liste sur le site de l’éditeur afin de contrôler si Pax est bien installé.
