Gebruikers van Zimbra-webmail aangevallen via XSS-kwetsbaarheid

In dit artikel:

Gebruikers van de webmail van Zimbra worden aangevallen via een cross-site scripting (XSS)-lek dat als CVE-2025-66376 is geregistreerd, meldt het Amerikaanse cyberagentschap CISA. Eind vorig jaar is voor deze kwetsbaarheid al een beveiligingsupdate uitgebracht. Zimbra — een suite met mailservers en een webmailclient die volgens schattingen door meer dan 200.000 organisaties wereldwijd wordt gebruikt — heeft vaker met XSS-problemen te maken gehad; CISA stelt dat in totaal acht verschillende XSS-lekken in Zimbra eerder bij daadwerkelijke aanvallen zijn ingezet.

Bij deze specifieke fout sturen aanvallers speciaal opgemaakte HTML-e-mails. Wanneer een slachtoffer zo’n bericht in de webclient opent, wordt kwaadwillige JavaScript in de sessie uitgevoerd. Daarmee kan een aanvaller bijvoorbeeld filters aanmaken om binnenkomende berichten automatisch door te sturen naar een extern adres en bestaande e-mails exfiltreren. De kwetsbaarheid werd gemeld door het National Cyber Security Centre Finland (NCSC-FI). CISA bevestigt dat de fout door aanvallers is benut, maar geeft geen details over de concrete incidenten.

Organisaties en beheerders worden geadviseerd de beschikbare patch zo snel mogelijk te installeren. Als aanvullende mitigaties helpen het blokkeren of beperken van HTML-inhoud in e-mail, uitschakelen van automatische externe content, strikte e-mailfiltering en het verplichten van multi-factor-authenticatie om schade bij misbruik te beperken.