Zneužívaná zraniteľnosť Zimbra Collaboration Suite dovoľuje perzistentné XSS

CISA pridala do katalógu aktívne zneužívaných zraniteľností (KEV) vysoko závažnú zraniteľnosť Zimbra Collaboration Suite. CVE-2025-66376 umožňuje neautentifikovanému útočníkovi vykonávať útoky typu XSS cez e-maily vo formáte HTML.

Zraniteľné systémy:

• Zimbra Collaboration Suite verzie staršej ako 10.0.18
• Zimbra Collaboration Suite verzie staršej ako 10.1.13

Opis činnosti:

CVE-2025-66376 (CVSS skóre 7,2)

Organizácia CISA pridala do svojho katalógu aktívne zneužívaných zraniteľností (KEV) vysoko závažnú chybu zabezpečenia v produkte v Zimbra Collaboration Suite. Zraniteľnosť sa nachádza v komponente Classic UI a umožňuje vykonávať útoky typu uloženého/perzistentného XSS. Vzdialený neautorizovaný útočník na to môže zneužiť direktívu CSS @import pri príprave škodlivých e-mailov vo formáte HTML.

Vývojári spoločnosti Synacor zraniteľnosť opravili v novembri 2025.

Možné škody:

• Únik citlivých informácií
• Vzdialené vykonanie kódu

Odporúčania:

Bezodkladná aktualizácia Zimbra Collaboration Suite aspoň na verziu 10.0.18 alebo 10.1.13.

Odkazy:

• https://nvd.nist.gov/vuln/detail/CVE-2025-66376
• https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories