Zimbra insta a los clientes a aplicar actualizaciones para abordar una vulnerabilidad de seguridad crítica que afecta al cliente web clásico y que podría resultar en la ejecución de código arbitrario.
La vulnerabilidad se ha descrito como un caso de secuencias de comandos entre sitios (XSS) almacenadas que podrían permitir que correos electrónicos especialmente diseñados ejecuten secuencias de comandos maliciosas en la sesión de un usuario. Todavía no se le ha asignado un identificador CVE.
“La actualización soluciona un problema de seguridad en el cliente web clásico donde un correo electrónico especialmente diseñado podría ejecutar código malicioso cuando se abre el correo electrónico”, dijo Zimbra. “Si se explota, podría permitir el acceso a la información del buzón, a los datos de la sesión o a la configuración de la cuenta”.
Las vulnerabilidades XSS ocurren cuando una aplicación incluye datos que no son de confianza en una página web sin la validación o el escape adecuados. Esto permite a los atacantes inyectar y ejecutar JavaScript malicioso en los navegadores de las víctimas, lo que puede provocar secuestro de sesión, robo de credenciales y compromiso de la cuenta.
XSS almacenado, o XSS persistente, es un tipo de falla XSS en la que el script inyectado se almacena permanentemente en los servidores de destino en una base de datos en forma de un comentario aparentemente inofensivo o una publicación en un foro, lo que hace que cualquier visitante del sitio se vea comprometido tan pronto como la página que contiene JavaScript se carga en su navegador web.
Aunque Zimbra no menciona la vulnerabilidad que se está explotando en la naturaleza, las fallas XSS en Zimbra han sido un imán de ataques durante años, y los malos actores intentaron convertir tales vulnerabilidades en armas desde diciembre de 2021.
En octubre pasado, se alegaba que una falla XSS almacenada en el cliente web clásico (CVE-2025-27915, puntuación CVSS: 5.4) había sido explotada como día cero en ataques dirigidos al ejército brasileño, aunque Zimbra le dijo a The Hacker News en ese momento que no encontró evidencia que lo respaldara.
Otras fallas XSS que han sido explotadas por actores de amenazas incluyen CVE-2023-37580 y CVE-2024-27443. Dado su alto potencial de abuso, se recomienda a los usuarios actualizar a Zimbra Collaboration Suite versión 10.1.19 para una protección óptima.