Impatto Sistemico

Alto (69.74)

Sintesi

Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2025-27915 – già sanata dal vendor – relativa al prodotto Zimbra Collaboration Suite (ZCS).

Tipologia

• Data Manipulation
• Information Disclosure
• Security Feature Bypass

Descrizione

Rilevato lo sfruttamento attivo della vulnerabilità identificata tramite la CVE-2025-27915 – già sanata dal vendor – relativa al prodotto Zimbra Collaboration Suite (ZCS).

Tale vulnerabilità – di tipo “ Stored Cross-Site Scripting (XSS) ” e con score CVSS v3.x pari a 5.4 – presente nel Classic Web Client di ZCS, è dovuta al modo in cui viene gestito il contenuto HTML nei file ICS. In particolare, il client web classico di Zimbra non sanitizza adeguatamente il codice JavaScript inserito in questi file e un attaccante potrebbe sfruttare la vulnerabilità, tramite file ICS opportunamente predisposti, per eseguire codice JavaScript arbitrario nella sessione della vittima e compiere quindi azioni non autorizzate, tra cui il reindirizzamento delle e-mail e l’esfiltrazione di dati.

Prodotti e versioni affette

Zimbra

• Daffodil 10.1.x, versioni precedenti alla 10.1.5
• Collaboration Daffodil 10.0.x, versioni precedenti alla 10.0.13
• Collaboration Kepler 9.x, versioni precedenti alla 9.0.0 Patch 44

Azioni di mitigazione

Ove non già provveduto, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.