A Zimbra emitiu um alerta crítico para clientes do Classic Web Client após identificar uma vulnerabilidade de stored XSS que permite executar código malicioso apenas com a abertura de um e-mail especialmente criado. A falha, ainda sem CVE atribuído, pode expor caixas postais, dados de sessão e configurações de conta. A empresa recomenda atualização imediata para a versão 10.1.19 do Zimbra Collaboration Suite.
A Zimbra publicou um comunicado urgente pedindo que administradores apliquem imediatamente o patch mais recente para corrigir uma falha crítica de cross-site scripting armazenado (stored XSS) no Classic Web Client. Segundo a empresa, um invasor pode elaborar um e-mail cujo conteúdo, ao ser renderizado no navegador do destinatário, executa JavaScript arbitrário dentro da sessão autenticada da vítima — sem exigir cliques adicionais nem downloads.
A vulnerabilidade ainda não recebeu identificador CVE público, mas a Zimbra descreveu o impacto em termos suficientemente amplos para gerar preocupação: acesso a informações da caixa postal, dados de sessão e configurações da conta. O Classic Web Client, embora hoje conviva com a interface Modern, ainda é largamente utilizado em ambientes corporativos e governamentais que dependem de compatibilidade com fluxos legados.
Não há, até o momento, indicação pública de exploração ativa. Contudo, o histórico recente do produto sugere que a janela entre a divulgação do patch e a tentativa de exploração massiva costuma ser curta — motivo pelo qual a Zimbra classificou o update como prioridade máxima.
Falhas de XSS ocorrem quando uma aplicação insere dados não confiáveis em uma página web sem sanitização ou escaping adequados, permitindo que scripts controlados pelo atacante sejam executados no contexto do domínio da vítima. Em um cenário de stored XSS — o mais perigoso da família — o payload malicioso é persistido no servidor (neste caso, dentro do próprio e-mail salvo na caixa postal) e disparado toda vez que a mensagem for aberta.
“O update corrige um problema de segurança no Classic Web Client em que um e-mail especialmente criado pode executar código malicioso quando a mensagem é aberta. Se explorado, pode permitir acesso a informações da caixa postal, dados de sessão ou configurações da conta.” — Zimbra
Na prática, isso significa que o atacante não precisa comprometer previamente credenciais nem enganar a vítima com engenharia social sofisticada. Basta que o e-mail chegue à caixa de entrada e seja visualizado. Uma vez executado, o script pode roubar tokens de sessão, exfiltrar mensagens, alterar filtros de encaminhamento ou até plantar mecanismos de persistência dentro da própria conta comprometida.
A falha atinge instalações do Zimbra Collaboration Suite anteriores à versão 10.1.19 que ainda utilizam o Classic Web Client. Entre os perfis tipicamente expostos estão:
O Zimbra virou um dos alvos preferidos de grupos APT e cibercriminosos oportunistas ao longo dos últimos anos justamente porque combina três características que atacantes adoram: base instalada relevante, foco em setores de alto valor (governo, defesa, educação) e um histórico recorrente de vulnerabilidades XSS no Classic Web Client. Só em 2024 e 2025 vimos exploração em massa de CVE-2023-37580 e CVE-2024-27443, e em outubro passado surgiram alegações — negadas pela Zimbra por falta de evidências — de que a CVE-2025-27915 teria sido usada como zero-day contra o Exército Brasileiro.
O padrão importa: quase todas essas falhas seguem o mesmo playbook técnico (payload armazenado em cabeçalho ou corpo do e-mail, execução no domínio do webmail, escalada para exfiltração via API interna). Isso sugere que a superfície de ataque do Classic Web Client permanece estruturalmente frágil e que a única mitigação efetiva a médio prazo é migrar para a interface Modern, isolar o webmail atrás de camadas adicionais (browser isolation, políticas CSP mais restritivas) ou reduzir dependência do cliente clássico.
Para operações de defesa, o alerta tem outro subtexto: a ausência de CVE público na data da divulgação não significa que atacantes não tenham chegado ao mesmo bug de forma independente. Historicamente, o intervalo entre patch da Zimbra e prova de conceito circulando em fóruns de exploit costuma ser de dias, não semanas.
Fonte: The Hacker News
Grupo O-UNC-066/Pink combina chamadas telefônicas com páginas falsas do Entra ID para enrolar passkeys controlados…
CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…
ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…
Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…
Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…
Meta libera Muse Spark 1.1 com 1M de contexto, foco em agentes e API paga…