文章总结: Zimbra敦促用户立即升级至ZCSv10.1.19以修复ClassicWebClient严重XSS漏洞。该漏洞由谷歌威胁分析团队发现,攻击者通过特制邮件触发恶意代码窃取会话与邮箱信息。尽管暂无CVE编号且未确认在野利用,但鉴于俄罗斯国家黑客组织常利用同类漏洞攻击政府机构,使用该客户端的用户务必尽快升级以规避高级持续性威胁。 综合评分: 80 文章分类: 漏洞预警,WEB安全,威胁情报,软文广告
Zimbra:速修复这个严重的 Web Client XSS 漏洞
Sergiu Gatlan Sergiu Gatlan
代码卫士
2026年7月13日 15:09 北京
在小说阅读器读本章
去阅读
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Zimbra安全团队督促客户修复影响用于访问 Zimbra Collaboration 套件的 Classic Web Client 中的一个严重 XSS 漏洞。该漏洞尚无CVE 编号。
Zimbra 是一款非常热门的邮件和协作软件套件,全球用户达数亿,包括数千家企业和数百家政府机构。这款基于 Ajax 的webmail 界面也被称为 “Classic UI”,它比 Zimbra 的现代 web 客户端更快,在加载大型邮件文件夹时需要更多的资源。
上周二,Zimbra 发布10.1.19版本修复该漏洞。攻击者可通过特殊构造的邮件利用该漏洞。当用户打开邮件时,就会执行恶意代码。成功利用该漏洞可导致攻击者窃取会话数据、账号设置或邮箱信息。Zimbra 公司提醒称,“任何使用 Classic Web Client 的客户都应尽快升级至 ZCS v10.1.19,因为该漏洞仅影响 Classic Web Client 用户。我们强烈建议升级至该版本,保护环境安全。”
Zimbra 公司尚未说明该漏洞是否已遭在野利用,不过该漏洞是由谷歌威胁分析团队发现的,该团队常常会标记由国家黑客组织部署且常用于攻击高风险个体如反对派政党、持不同政见人士以及记者等的 0day 漏洞。
遭俄罗斯国家黑客组织针对
近年来,Zimbra 公司的安全问题被指常遭俄罗斯国家黑客组织利用,攻击数千台易受攻击的服务器。
例如,2023年2月,俄罗斯国家黑客组织 Winter Vivern 被指利用一个反射型XSS利用,攻陷 Zimbra webmail 门户,从与北约相关的组织机构和个人手中窃取邮件,这些人员包括政府官员、军事人员以及外交官等。2024年10月,英美网络机构提醒称 APT29 黑客组织滥用一个此前用于窃取邮件账号凭据的漏洞,“大规模”攻击 Zimbra 服务器。今年3月份,美国网络安全和基础设施安全局 (CISA) 要求联邦机构修复与 APT28 组织相关联的 Zimbra XSS 漏洞CVE-2025-66376,攻击乌克兰政府实体。4月份,非盈利性安全机构 Shadowserver 提醒称,暴露在网络的超过1.05万台 ZCS 实例仍然易受另外一个XSS漏洞CVE-2025-48700的影响。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
Zimbra 紧急修复 Chat Proxy 配置中的严重SSRF漏洞
Zimbra 紧急提醒手动修复已遭利用的0day
黑客正在利用Zimbra ZCS中的未修复RCE漏洞
UnRAR二进制中出现路径遍历缺陷,可导致在Zimbra上执行远程代码
开源邮件平台Zimbra 出现新漏洞,用户登录凭据可被盗
原文链接
https://www.bleepingcomputer.com/news/security/zimbra-urges-customers-to-patch-critical-web-client-xss-flaw/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 “赞” 吧~
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:代码卫士 Sergiu Gatlan Sergiu Gatlan《Zimbra:速修复这个严重的 Web Client XSS 漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论