Zimbra alerta para falha crítica de XSS armazenado no Classic Web Client; patch 10.1.19 é obrigatório

Zimbra emite alerta crítico após identificar vulnerabilidade stored XSS no Classic Web Client que permite executar código malicioso apenas com a abertura de um e-mail. Empresa recomenda atualização imediata para a versão 10.1.19.

zimbra

A Zimbra emitiu um alerta crítico para clientes do Classic Web Client após identificar uma vulnerabilidade de stored XSS que permite executar código malicioso apenas com a abertura de um e-mail especialmente criado. A falha, ainda sem CVE atribuído, pode expor caixas postais, dados de sessão e configurações de conta. A empresa recomenda atualização imediata para a versão 10.1.19 do Zimbra Collaboration Suite.

O que aconteceu

A Zimbra publicou um comunicado urgente pedindo que administradores apliquem imediatamente o patch mais recente para corrigir uma falha crítica de cross-site scripting armazenado (stored XSS) no Classic Web Client. Segundo a empresa, um invasor pode elaborar um e-mail cujo conteúdo, ao ser renderizado no navegador do destinatário, executa JavaScript arbitrário dentro da sessão autenticada da vítima — sem exigir cliques adicionais nem downloads.

A vulnerabilidade ainda não recebeu identificador CVE público, mas a Zimbra descreveu o impacto em termos suficientemente amplos para gerar preocupação: acesso a informações da caixa postal, dados de sessão e configurações da conta. O Classic Web Client, embora hoje conviva com a interface Modern, ainda é largamente utilizado em ambientes corporativos e governamentais que dependem de compatibilidade com fluxos legados.

Não há, até o momento, indicação pública de exploração ativa. Contudo, o histórico recente do produto sugere que a janela entre a divulgação do patch e a tentativa de exploração massiva costuma ser curta — motivo pelo qual a Zimbra classificou o update como prioridade máxima.

Detalhes da vulnerabilidade

Falhas de XSS ocorrem quando uma aplicação insere dados não confiáveis em uma página web sem sanitização ou escaping adequados, permitindo que scripts controlados pelo atacante sejam executados no contexto do domínio da vítima. Em um cenário de stored XSS — o mais perigoso da família — o payload malicioso é persistido no servidor (neste caso, dentro do próprio e-mail salvo na caixa postal) e disparado toda vez que a mensagem for aberta.

“O update corrige um problema de segurança no Classic Web Client em que um e-mail especialmente criado pode executar código malicioso quando a mensagem é aberta. Se explorado, pode permitir acesso a informações da caixa postal, dados de sessão ou configurações da conta.” — Zimbra

Na prática, isso significa que o atacante não precisa comprometer previamente credenciais nem enganar a vítima com engenharia social sofisticada. Basta que o e-mail chegue à caixa de entrada e seja visualizado. Uma vez executado, o script pode roubar tokens de sessão, exfiltrar mensagens, alterar filtros de encaminhamento ou até plantar mecanismos de persistência dentro da própria conta comprometida.

Quem é afetado

A falha atinge instalações do Zimbra Collaboration Suite anteriores à versão 10.1.19 que ainda utilizam o Classic Web Client. Entre os perfis tipicamente expostos estão:

  • Órgãos públicos e universidades que mantêm Zimbra on-premises por razões de soberania de dados
  • Provedores de serviços gerenciados (MSPs) que hospedam múltiplos tenants
  • Empresas de médio porte que optaram pelo Zimbra como alternativa ao Microsoft 365 ou Google Workspace
  • Ambientes militares e diplomáticos historicamente visados por atores estatais

Análise

O Zimbra virou um dos alvos preferidos de grupos APT e cibercriminosos oportunistas ao longo dos últimos anos justamente porque combina três características que atacantes adoram: base instalada relevante, foco em setores de alto valor (governo, defesa, educação) e um histórico recorrente de vulnerabilidades XSS no Classic Web Client. Só em 2024 e 2025 vimos exploração em massa de CVE-2023-37580 e CVE-2024-27443, e em outubro passado surgiram alegações — negadas pela Zimbra por falta de evidências — de que a CVE-2025-27915 teria sido usada como zero-day contra o Exército Brasileiro.

O padrão importa: quase todas essas falhas seguem o mesmo playbook técnico (payload armazenado em cabeçalho ou corpo do e-mail, execução no domínio do webmail, escalada para exfiltração via API interna). Isso sugere que a superfície de ataque do Classic Web Client permanece estruturalmente frágil e que a única mitigação efetiva a médio prazo é migrar para a interface Modern, isolar o webmail atrás de camadas adicionais (browser isolation, políticas CSP mais restritivas) ou reduzir dependência do cliente clássico.

Para operações de defesa, o alerta tem outro subtexto: a ausência de CVE público na data da divulgação não significa que atacantes não tenham chegado ao mesmo bug de forma independente. Historicamente, o intervalo entre patch da Zimbra e prova de conceito circulando em fóruns de exploit costuma ser de dias, não semanas.

Recomendações práticas

  • Atualizar imediatamente para o Zimbra Collaboration Suite 10.1.19, priorizando servidores expostos à internet
  • Auditar logs de acesso ao webmail em busca de sessões suspeitas iniciadas nos últimos 30 dias
  • Forçar revogação de tokens ativos e exigir nova autenticação após o patch
  • Revisar regras de encaminhamento automático e filtros aplicados em caixas de usuários VIP
  • Considerar mover usuários críticos para o Modern Web Client, que não compartilha a mesma superfície de renderização
  • Ativar CSP e restringir execução de JavaScript inline via cabeçalhos de resposta do proxy reverso à frente do Zimbra
  • Habilitar MFA baseada em hardware para acesso administrativo, reduzindo o valor de sessões roubadas

Fonte: The Hacker News