De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft federale overheidsinstanties opgedragen hun servers te beveiligen tegen een actief misbruikte kwetsbaarheid in de Zimbra Collaboration Suite (ZCS). Deze populaire e-mail- en samenwerkingssoftware wordt wereldwijd door honderden miljoenen gebruikers ingezet, waaronder duizenden bedrijven en honderden overheidsinstanties.

De kwetsbaarheid, geregistreerd als CVE-2025-66376 en begin november gepatcht, betreft een stored cross-site scripting (XSS)-fout in de Classic UI. Kwaadwillenden kunnen deze misbruiken door CSS @import-richtlijnen in HTML-e-mails te manipuleren, zonder dat authenticatie vereist is. Hoewel de leverancier Synacor geen details gaf over de impact, kan de kwetsbaarheid waarschijnlijk worden gebruikt om willekeurige JavaScript-code uit te voeren via kwaadaardige e-mails, wat kan leiden tot het kapen van sessies en het stelen van gevoelige gegevens binnen de getroffen Zimbra-omgeving.

CISA heeft deze kwetsbaarheid toegevoegd aan haar catalogus van in het wild misbruikte kwetsbaarheden en gaf federale instanties twee weken de tijd om hun systemen uiterlijk 1 april te patchen, conform de Binding Operational Directive (BOD) 22-01 uit november 2021. Hoewel deze richtlijn alleen geldt voor federale agentschappen, adviseert CISA ook andere organisaties om de patch zo snel mogelijk toe te passen. De instantie waarschuwt dat dit soort kwetsbaarheden vaak worden gebruikt door kwaadwillende cyberactoren en aanzienlijke risico’s vormen voor de federale infrastructuur.

Zimbra-servers zijn al vaker doelwit geweest van aanvallen. In juni 2022 werden bijvoorbeeld authenticatie-omzeilingen en remote code execution-bugs misbruikt om meer dan duizend servers te compromitteren. Vanaf september 2022 leidde een zero-day kwetsbaarheid tot de inbraak op bijna 900 servers binnen twee maanden. Ook de door de Russische staat gesteunde hacker-groep Winter Vivern gebruikte reflected XSS-exploits om toegang te krijgen tot Zimbra-webmailportalen van NAVO-gezinde overheden en de mailboxen van ambtenaren, militairen en diplomaten. Recent werden ook andere XSS-kwetsbaarheden in Zimbra (zoals CVE-2025-27915) misbruikt om e-mailfilters in te stellen die berichten doorsturen naar servers onder controle van aanvallers.