Luka XSS w Synacor Zimbra Collaboration Suite (ZCS) umożliwia wykonanie złośliwego JavaScript

Wykryto lukę XSS w Zimbra Collaboration Suite umożliwiającą wykonanie złośliwego JavaScript. Sprawdź zalecenia bezpieczeństwa i aktualizacje.
CVE-2025-48700CVSS 6.1CISA KEVMail

Luka XSS w Synacor Zimbra Collaboration Suite (ZCS) umożliwia wykonanie złośliwego JavaScript

Wykryto lukę XSS w Zimbra Collaboration Suite umożliwiającą wykonanie złośliwego JavaScript. Sprawdź zalecenia bezpieczeństwa i aktualizacje.

CVSS
6.1 MEDIUM
EPSS
75.27%
Aktywnie wykorzystywana
tak
Produkt
Zimbra Collaboration Suite (ZCS)

Co wiadomo

W Zimbra Collaboration Suite (ZCS) w wersjach 8.8.15, 9.0, 10.0 i 10.1 wykryto lukę Cross-Site Scripting (XSS) w klasycznym interfejsie użytkownika. Luka pozwala atakującym na wykonanie dowolnego kodu JavaScript w sesji użytkownika po otwarciu spreparowanej wiadomości e-mail, bez potrzeby dodatkowej interakcji.

Wpływ biznesowy

Atakujący mogą wykorzystać tę lukę do uzyskania nieautoryzowanego dostępu do poufnych informacji użytkownika lub przejęcia sesji. Może to prowadzić do wycieku danych, naruszenia prywatności oraz potencjalnych dalszych ataków na infrastrukturę IT. Organizacje korzystające z ZCS powinny traktować tę lukę jako istotne zagrożenie dla bezpieczeństwa poczty elektronicznej.

Rekomendowane działania administratora

Zaleca się jak najszybsze sprawdzenie dostępności aktualizacji bezpieczeństwa od producenta Synacor dla Zimbra Collaboration Suite. W międzyczasie warto ograniczyć ekspozycję systemu, monitorować logi pod kątem podejrzanych aktywności oraz edukować użytkowników o ryzyku otwierania nieznanych wiadomości. Priorytetowo należy wdrożyć poprawki po ich udostępnieniu.

Źródła