CVE-2025-27914

Nome do Software Vulnerável e Versões Afetadas: Zimbra Collaboration (ZCS) versões 9.0 a 10.1

Descrição: Existe uma vulnerabilidade de Cross-Site Scripting (XSS) Refletido, permitindo que atacantes autenticados injetem e executem JavaScript arbitrário na sessão de uma vítima. O problema está relacionado ao endpoint "/h/rest" e envolve uma URL forjada com parâmetros de consulta manipulados. A exploração requer um token de autenticação válido.

Recomendações: Para as versões 9.0 a 10.1 do Zimbra Collaboration (ZCS), considere restringir o acesso ao endpoint "/h/rest" até que um patch esteja disponível. Como solução alternativa temporária, evite o uso de parâmetros de consulta manipulados no endpoint afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.