Zimbra از کاربران خود میخواهد که بهروزرسانیهایی را برای رفع یک آسیبپذیری امنیتی حیاتی که بر کلاینت وب کلاسیک تأثیر میگذارد و میتواند منجر به اجرای کد دلخواه شود، اعمال کنند.
این آسیبپذیری به عنوان موردی از XSS توصیف شده است که میتواند به ایمیلهای دستکاریشده خاص اجازه دهد اسکریپتهای مخرب را در جلسه کاربر اجرا کنند. هنوز شناسه CVE به آن اختصاص داده نشده است.
به گفته Zimbra “این بهروزرسانی یک مشکل امنیتی را در کلاینت وب کلاسیک برطرف میکند که در آن یک ایمیل دستکاریشده خاص میتواند هنگام باز شدن ایمیل، کد مخرب را اجرا کند. در صورت سوءاستفاده، میتواند دسترسی به اطلاعات صندوق پستی، دادههای نشست یا تنظیمات حساب را فراهم کند.”
آسیبپذیریهای XSS زمانی رخ میدهند که یک برنامه شامل دادههای غیرقابل اعتماد در یک صفحه وب بدون اعتبارسنجی مناسب باشد. این امر به مهاجمان اجازه میدهد تا جاوا اسکریپت مخرب را در مرورگرهای قربانیان تزریق و اجرا کنند، که میتواند منجر به ربودن نشست، سرقت اعتبارنامه و به خطر افتادن اکانت شود.
XSS ذخیرهشده یا XSS پایدار، نوعی نقص XSS است که در آن اسکریپت تزریقشده بهطور دائم در سرورهای هدف در یک پایگاه داده به یک شکل ظاهراً بیضرر یا یک پست انجمن ذخیره میشود و باعث میشود هر بازدیدکننده سایت به محض بارگذاری صفحه حاوی جاوا اسکریپت در مرورگر وب خود، در معرض خطر قرار گیرد.
اگرچه Zimbra هیچ اشارهای به سوءاستفاده از این آسیبپذیری در سطح اینترنت نمیکند، اما نقصهای XSS در Zimbra سالهاست که مورد حمله قرار گرفتهاند و مهاجمان از دسامبر 2021 سعی در سوءاستفاده از چنین آسیبپذیریهایی داشتهاند.
در اکتبر گذشته، ادعا شد که یک نقص XSS ذخیرهشده در Classic Web Client (CVE-2025-27915، امتیاز CVSS: 5.4) بهعنوان یک آسیبپذیری zero-day مورد سوءاستفاده قرار گرفته است.
سایر نقصهای XSS که توسط عوامل تهدید مورد سوءاستفاده قرار گرفتهاند عبارتند از CVE-2023-37580 و CVE-2024-27443. با توجه به پتانسیل بالای سوءاستفاده، به کاربران توصیه میشود برای محافظت بهینه، Zimbra Collaboration Suite نسخه 10.1.19 را بهروزرسانی کنند.
منبع: