Zimbra GraphQL跨站请求伪造漏洞CVE-2024-9665

GraphQL是一种由Facebook开发并于2015年公开发布的数据查询和操作语言，提供 API 中数据的详尽描述，让客户端精准请求所需内容。

GraphQL与传统的 REST API 之间完全不同，它允许客户端明确指定它们需要哪些数据，如此就可以避免过度获取或者是获取不足的问题。

一、基本情况

GraphQL是也是运行在服务端的运行时（runtime）用于处理 API 查询的一种规范，GraphQL 服务器就像个中介，连接客户端和后端服务。

GraphQL通过其设计和特性提供解决传统 REST API 问题的方法，把多个REST请求合成一个查询，并且支持查询、变异和订阅等等功能。

Zimpa提供一套开源协同办公套件包括WebMail、日历、通信录、Web文档管理和创作，采用Ajax技术模仿CS桌面应用软件风格客户端。

栋科技漏洞库关注到 Zimpa GraphQL 中存在一个跨站请求伪造信息泄露漏洞，漏洞被追踪为CVE-2024-9665，漏洞的CVSS评分为6.5。

二、漏洞分析

CVE-2024-9665是Zimpa GraphQL中的跨站请求伪造信息泄露漏洞，该漏洞允许远程攻击者能够在受影响的Zimpa安装上披露敏感信息。

该漏洞源于缺乏针对跨站请求伪造（CSRF）攻击的适当保护而导致的，攻击者可以利用该漏洞，来泄露目标电子邮件帐户的上下文信息。

该漏洞具体存在于GraphQL端点的实现中，漏洞被利用需要具备一定的前提条件，即目标必须打开恶意电子邮件，攻击者才可利用该漏洞。

目前， 这一GraphQL GET 方法中的存在的跨站请求伪造（CSRF）漏洞CVE-2024-9665已得到解决，官方发布了Zimpa 9.0.0 Patch-42。

三、漏洞影响

Zimpa < 9.0.0

四、修复建议

Zimpa >= 9.0.0

五、参考链接

https://blog.zimpa.com/2024/10/new-patch-release-reminders-for-missing-attachments-out-of-office-notifications-traffic-light-protocol-tlp-and-mailto-links/