Zimbra服务器漏洞可能导致电子邮件掠夺

除了旧版本之外，现在已经修补了两个漏洞，可以链接起来，让攻击者只需发送一封恶意电子邮件就可以劫持Zimbra服务器。

研究人员称，Zimbra网络邮件服务器有两个漏洞，攻击者可以利用这两个漏洞浏览所有使用这种广受欢迎的协作工具的企业中所有员工的收件箱和发件箱。

在周二的一篇评论中，SonarSource称，鉴于Zimbra的受欢迎程度和它所处理的大量信息的高度敏感性质，这是一个“极端”的情况。根据Zimbra的网站，其电子邮件和协作工具被超过20万家企业，1000多家政府和金融机构使用，以及数亿用户每天交换电子邮件。

报告称：“当攻击者进入员工的电子邮件账户时，往往会带来严重的安全隐患。”“除了交换的机密信息和文件外，电子邮件账户通常还会链接到其他允许密码重置的敏感账户。想想看，攻击者能对你的收件箱做什么？“ 对的，他们可以自由地翻阅账户，就是其中之一。

恶意电子邮件可能携带精心编制的JavaScript有效负载。
SonarSource的漏洞研究员西蒙