<html><body><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt; color: #000000"><div>Hello Guys,</div><div><br data-mce-bogus="1"></div><div>Have you seen the 8.8.15 P10 and 9.0 P3 patches released today?</div><div><br data-mce-bogus="1"></div><div><a href="https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P3">https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P3</a><br data-mce-bogus="1"></div><div><a href="https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P10">https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P10</a><br data-mce-bogus="1"></div><div><br data-mce-bogus="1"></div><div>There is a fix for this vulnerabity mentioned:</div><div><br data-mce-bogus="1"></div><div><a href="https://vulmon.com/vulnerabilitydetails?valert=email&qid=CVE-2020-12846">https://vulmon.com/vulnerabilitydetails?valert=email&qid=CVE-2020-12846</a><br data-mce-bogus="1"></div><div><br data-mce-bogus="1"></div><div><strong>Zimbra prior to 8.8.15 Patch 10 and 9.x prior to 9.0.0 Patch 3 allows remote code execution via an avatar file. There is potential abuse of /service/upload servlet in the webmail subsystem. A user can upload executable files (exe,sh,bat,jar) in the Contact section of the mailbox as an avatar image for a contact. A user will receive a "Corrupt File" error, but the file is still uploaded and stored locally in /opt/zimbra/data/tmp/upload/, leaving it open to possible remote execution.</strong><br data-mce-bogus="1"></div><div><strong><br data-mce-bogus="1"></strong></div><div>Did any partner receive a warning from Zimbra about this before the patches were released? </div><div><br data-mce-bogus="1"></div><div>Best regards.</div><div>Fabio S. Schmidt</div></div></body></html>