← volver
CVE-2025-66376

CVE-2025-66376

CVSS 7.2 HIGHEPSS 12.0%● KEVCWE-79
En resumen

Zimbra Collaboration permite que atacantes inyecten código malicioso en mensajes de correo electrónico mediante trucos de CSS. Cuando la víctima ve el correo en la interfaz clásica, el código inyectado se ejecuta en su navegador, pudiendo robar datos o comprometer su cuenta.

Detalle técnico

Vulnerabilidad XSS almacenado en Zimbra ZCS 10.x (antes de 10.0.18 y 10.1.x antes de 10.1.13) mediante directivas CSS @import en mensajes de correo HTML. El vector de ataque es basado en red; un atacante envía un correo elaborado que ejecuta JavaScript en el contexto de la sesión Classic UI de la víctima. El impacto incluye secuestro de sesión, robo de credenciales y acciones no autorizadas en nombre de la víctima.

Resumen generado y traducido por IA a partir de la descripción oficial.
Zimbra Collaboration (ZCS) 10 before 10.0.18 and 10.1 before 10.1.13 allows Classic UI stored XSS via Cascading Style Sheets (CSS) @import directives in an HTML e-mail message.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
Productos afectados
Zimbra · Collaboration

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://wiki.zimbra.com/wiki/Security_Centerhttps://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.18#Security_Fixeshttps://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.13#Security_Fixeshttps://wiki.zimbra.com/wiki/Zimbra_Responsible_Disclosure_Policyhttps://wiki.zimbra.com/wiki/Zimbra_Security_Advisorieshttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-66376