← voltar
CVE-2025-48700

CVE-2025-48700

CVSS 6.1 MEDIUMEPSS 1.8%● KEVCWE-79
Em resumo

O Zimbra permite que atacantes injetem código malicioso em emails que são executados quando usuários os visualizam na Interface Clássica, podendo roubar informações sensíveis ou comprometer a conta de email.

Detalhe técnico

Uma vulnerabilidade de Cross-Site Scripting (XSS) no Zimbra Collaboration 8.8.15, 9.0, 10.0 e 10.1 na Interface Clássica ocorre por sanitização insuficiente de HTML, permitindo injeção de JavaScript arbitrário através de estruturas de tags e diretivas @import que executam no navegador da vítima, comprometendo a sessão e possibilitando roubo de credenciais ou dados.

Resumo gerado e traduzido por IA a partir da descrição oficial.
An issue was discovered in Zimbra Collaboration (ZCS) 8.8.15 and 9.0 and 10.0 and 10.1. A Cross-Site Scripting (XSS) vulnerability in the Zimbra Classic UI allows attackers to execute arbitrary JavaScript within the user's session, potentially leading to unauthorized access to sensitive information. This issue arises from insufficient sanitization of HTML content, specifically involving crafted tag structures and attribute values that include an @import directive and other script injection vectors. The vulnerability is triggered when a user views a crafted e-mail message in the Classic UI, requiring no additional user interaction.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Produtos afetados
n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://wiki.zimbra.com/wiki/Security_Centerhttps://wiki.zimbra.com/wiki/Zimbra_Responsible_Disclosure_Policyhttps://wiki.zimbra.com/wiki/Zimbra_Security_Advisorieshttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-48700