پشتیبانی 24/7 :

031-36691964 | 021-88203003

Search

نقص بحرانی Zimbra می‌تواند به ایمیل‌های جعلی اجازه دهد کد مخرب را در سشن کاربر اجرا کند.

تیتر مطالب

Zimbra از کاربران خود می‌خواهد که به‌روزرسانی‌هایی را برای رفع یک آسیب‌پذیری امنیتی حیاتی که بر کلاینت وب کلاسیک تأثیر می‌گذارد و می‌تواند منجر به اجرای کد دلخواه شود، اعمال کنند.

این آسیب‌پذیری به عنوان موردی از XSS توصیف شده است که می‌تواند به ایمیل‌های دستکاری‌شده خاص اجازه دهد اسکریپت‌های مخرب را در جلسه کاربر اجرا کنند. هنوز شناسه CVE به آن اختصاص داده نشده است.

به گفته Zimbra “این به‌روزرسانی یک مشکل امنیتی را در کلاینت وب کلاسیک برطرف می‌کند که در آن یک ایمیل دستکاری‌شده خاص می‌تواند هنگام باز شدن ایمیل، کد مخرب را اجرا کند. در صورت سوءاستفاده، می‌تواند دسترسی به اطلاعات صندوق پستی، داده‌های نشست یا تنظیمات حساب را فراهم کند.”

آسیب‌پذیری‌های XSS زمانی رخ می‌دهند که یک برنامه شامل داده‌های غیرقابل اعتماد در یک صفحه وب بدون اعتبارسنجی مناسب باشد. این امر به مهاجمان اجازه می‌دهد تا جاوا اسکریپت مخرب را در مرورگرهای قربانیان تزریق و اجرا کنند، که می‌تواند منجر به ربودن نشست، سرقت اعتبارنامه و به خطر افتادن اکانت شود.

XSS ذخیره‌شده یا XSS پایدار، نوعی نقص XSS است که در آن اسکریپت تزریق‌شده به‌طور دائم در سرورهای هدف در یک پایگاه داده به یک شکل ظاهراً بی‌ضرر یا یک پست انجمن ذخیره می‌شود و باعث می‌شود هر بازدیدکننده سایت به محض بارگذاری صفحه حاوی جاوا اسکریپت در مرورگر وب خود، در معرض خطر قرار گیرد.

اگرچه Zimbra هیچ اشاره‌ای به سوءاستفاده از این آسیب‌پذیری در سطح اینترنت نمی‌کند، اما نقص‌های XSS در Zimbra سال‌هاست که مورد حمله قرار گرفته‌اند و مهاجمان از دسامبر 2021 سعی در سوءاستفاده از چنین آسیب‌پذیری‌هایی داشته‌اند.

در اکتبر گذشته، ادعا شد که یک نقص XSS ذخیره‌شده در Classic Web Client (CVE-2025-27915، امتیاز CVSS: 5.4) به‌عنوان یک آسیب‌پذیری zero-day مورد سوءاستفاده قرار گرفته است.

سایر نقص‌های XSS که توسط عوامل تهدید مورد سوءاستفاده قرار گرفته‌اند عبارتند از CVE-2023-37580 و CVE-2024-27443. با توجه به پتانسیل بالای سوءاستفاده، به کاربران توصیه می‌شود برای محافظت بهینه، Zimbra Collaboration Suite نسخه 10.1.19 را به‌روزرسانی کنند.

 

منبع:

thehackernews