CVE-2025-48700

Nome do Software Vulnerável e Versões Afetadas Zimbra Collaboration (ZCS) versão 8.8.15 Zimbra Collaboration (ZCS) versão 9.0 Zimbra Collaboration (ZCS) versão 10.0 Zimbra Collaboration (ZCS) versão 10.1

Description Um problema de Cross-Site Scripting (XSS) existe na interface clássica do Zimbra devido à sanitização insuficiente de conteúdo HTML. Isso permite que invasores executem JavaScript arbitrário na sessão do usuário por meio de estruturas de tags e valores de atributos manipulados que contêm a diretiva @import e outros vetores de injeção de script. O problema é acionado quando um usuário visualiza uma mensagem de e-mail especialmente criada, não exigindo interação adicional do usuário, e pode levar ao acesso não autorizado a informações confidenciais ou à tomada total de controle da conta de e-mail. Mais de 10.500 servidores em todo o mundo foram identificados como não corrigidos, e o problema está sendo explorado ativamente, com alguns incidentes envolvendo movimentação lateral em toda a rede após o comprometimento inicial.

Recommendations Atualizar o Zimbra Collaboration (ZCS) versão 8.8.15 para a versão corrigida de junho de 2025. Atualizar o Zimbra Collaboration (ZCS) versão 9.0 para a versão corrigida de junho de 2025. Atualizar o Zimbra Collaboration (ZCS) versão 10.0 para a versão corrigida de junho de 2025. Atualizar o Zimbra Collaboration (ZCS) versão 10.1 para a versão corrigida de junho de 2025.