Trusted Design

CVE-2020-7796 の詳細

CVEの情報

説明:
Zimbra Collaboration Suite (ZCS) before 8.8.15 Patch 7 allows SSRF when WebEx zimlet is installed and zimlet JSP is enabled.

CVE更新日: 2020-02-18 22:15:10.013000

CVSSバージョン: 3.1

CVSSスコア: 9.8

KEVの情報

KEV更新日: 2026-02-17

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.928530000

EPSS更新日: 2026-04-16 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2020-7796 は Zimbra Collaboration Suite(ZCS)に存在するServer-Side Request Forgery(SSRF)脆弱性。 WebEx zimlet がインストールされ、かつ zimlet JSP が有効な場合に発生する。

  1. 脆弱性の概要 ■ 影響
  2. 攻撃者が Zimbra サーバーに外部リクエストを送信させ、任意の宛先へ HTTP リクエストを代理送信させる SSRF。 ■ 深刻度

  3. CVSS v3.1:9.8(Critical)

  4. 対象となる環境 ■ 影響を受ける製品

  5. Zimbra Collaboration Suite(ZCS) ■ 影響を受けるバージョン
  6. 8.8.15 Patch 7 より前のバージョン ■ 影響を受けるOSバージョン
  7. アプリケーション依存のため不明 ■ 影響を受ける設定

  8. WebEx zimlet がインストールされ、zimlet JSP が有効な構成

  9. 影響を受けた時の兆候

  10. Zimbra サーバーが意図しない外部宛先へ HTTP リクエストを送信する
  11. ログに不審な outbound リクエストが記録される可能性

  12. ただし公式に明確な兆候は公開されていない

  13. 推奨対策 ■ 本対策 — 8.8.15 Patch 7 以降へアップデート(Zimbra が提供)

■ 暫定回避策 - WebEx zimlet を無効化する - zimlet JSP を無効化する - 外部宛先への不要な outbound 通信を制限する

参照URL: https://nvd.nist.gov/vuln/detail/CVE-2020-7796 https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P7 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7796 https://wne-security.com/articles/cve-2020-7796

NVDサイト

NVDでCVEの詳細を見る

戻る