1.1 A CVE-2024-33533 relata uma vulnerabilidade Cross-Site Scripting Refletido (XSS Refletido) na interface de administração do webmail do Zimbra, conforme publicado em:
1.2 A CVE-2024-33535 envolve Inclusão de Arquivo Local (LFI) em uma aplicação web, impactando especificamente o tratamento do parâmetro “packages”, publicada em:
1.3 A CVE-2024-33536 é relacionada à validação inadequada de entrada do parâmetro “res”, permitindo que um usuário autenticado injete e execute código JavaScript arbitrário no contexto da sessão do navegador de outro usuário, conforme apresentado em:
2. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) solicita às instituições aderentes à Rede Federal de Gestão de Incidentes Cibernéticos (REGIC) e demais entidades/instituições que identifiquem em seus inventários de ativos a existência dos sistemas afetados e apliquem as correções disponibilizadas pelo desenvolvedor, conforme orientações disponíveis em:
- https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P40#Security_Fixes
- https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.8#Security_Fixes
3. O CTIR Gov ressalta que, de acordo com os artigos 15 e 17 do Decreto Nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, cada órgão é responsável pela proteção cibernética de seus ativos de informação. Referência:
4. Informações sobre o Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST):
Share this content:
using WordPress and
Comments are closed