Ez a legújabb az XSS-sebezhetőségek sorozatában, amelyek közel öt éve célozzák a Zimbrát.

Facepalm: A népszerű Zimbra együttműködési platformot a közelmúltban frissítették, hogy kijavítsák a klasszikus webkliens összetevő potenciálisan veszélyes sebezhetőségét. Elméletileg a rosszindulatú szereplők visszaélhetnek a hibával, és közvetlenül a felhasználók gépein futtathatnak szkriptalapú kártevőket. Mondanom sem kell, hogy az ügyfeleknek azt tanácsoljuk, hogy a lehető leghamarabb telepítsék a frissítést.

A Zimbra tulajdonosa, a Synacor kiadta együttműködési szoftverének új verzióját, és a felhasználóknak a lehető leghamarabb telepíteniük kell a frissítést. A Zimbra „Daffodil” 10.1.19-es verziója javítja a tárolt helyközi parancsfájlok (XSS) biztonsági rését, amelyet kihasználva a Zimbra klasszikus webkliensén keresztül feltörhetik az ügyfelek gépeit.

Zimbra szerint a kiberbűnözők visszaélhetnek a hibával, ha speciálisan rosszul formázott e-maileket küldenek. A sebezhető ügyfél az üzenet megnyitásának pillanatában futtatná a rosszindulatú kódot. Noha a vállalat „alacsonynak” minősíti a telepítési kockázatot, a hiba továbbra is veszélyesnek bizonyulhat a felhasználók munkamenet-adataira, postafiók-információira vagy fiókbeállításaira nézve.

A webhelyek közötti parancsfájl-kezelési sebezhetőségek a leleményes támadók által rendszeresen visszaélő biztonsági problémák gyakori osztálya. Az XSS hiba lehetővé teszi, hogy a támadók kliensoldali, rosszindulatú szkripteket fecskendezzenek be a többi felhasználó által megtekintett weboldalakba. Az olyan „tárolt” XSS-hiba, mint a Zimbra, különösen veszélyes változat, mivel a rosszindulatú szkript tartósan elmentésre kerül a szerveren, nem pedig menet közben.

A Zimbra biztonsági útmutatója kimondja, hogy a klasszikus webklienst használó minden ügyfélnek frissítenie kell az összetevőt a legújabb elérhető verzióra. További tanácsokat kapnak azok, akik egyéni SNMP-mérséklést használnak. Eddig az XSS hibához nem rendeltek CVE azonosítót.

Mindenesetre rosszindulatú szereplők már majdnem öt éve próbálják megcélozni a Zimbra XSS sebezhetőségét.

2025 októberében a Classic Web Client (CVE-2025-27915) egy újabb állandó XSS-hibáját használták ki brazil katonai személyzetet célzó nulladik napi támadások során. Más XSS-alapú támadások a Zimbra platformját célozták 2025 és 2023 májusában.

Bár több mint két évtizede létezik különböző formákban, a Zimbra az évek során többször is gazdát cserélt. A céget a Yahoo! 2007-ben, három évvel később eladták a VMware-nek, végül 2015-ben a buffalói Synacor szolgáltató cég vásárolta meg. A Zimbra együttműködési eszközöket, e-mail szervereket és webes klienseket kínál nyílt forráskódú és kereskedelmileg támogatott kiadásokban. A Zimbra termékek legújabb nyílt forráskódú verziói azonban már nem tartalmaznak hivatalos, ingyenes bináris buildeket.