Categories: ALERTASCYBERSEC GERAL

Zimbra alerta para falha crítica de XSS armazenado no Classic Web Client; patch 10.1.19 é obrigatório

A Zimbra emitiu um alerta crítico para clientes do Classic Web Client após identificar uma vulnerabilidade de stored XSS que permite executar código malicioso apenas com a abertura de um e-mail especialmente criado. A falha, ainda sem CVE atribuído, pode expor caixas postais, dados de sessão e configurações de conta. A empresa recomenda atualização imediata para a versão 10.1.19 do Zimbra Collaboration Suite.

O que aconteceu

A Zimbra publicou um comunicado urgente pedindo que administradores apliquem imediatamente o patch mais recente para corrigir uma falha crítica de cross-site scripting armazenado (stored XSS) no Classic Web Client. Segundo a empresa, um invasor pode elaborar um e-mail cujo conteúdo, ao ser renderizado no navegador do destinatário, executa JavaScript arbitrário dentro da sessão autenticada da vítima — sem exigir cliques adicionais nem downloads.

A vulnerabilidade ainda não recebeu identificador CVE público, mas a Zimbra descreveu o impacto em termos suficientemente amplos para gerar preocupação: acesso a informações da caixa postal, dados de sessão e configurações da conta. O Classic Web Client, embora hoje conviva com a interface Modern, ainda é largamente utilizado em ambientes corporativos e governamentais que dependem de compatibilidade com fluxos legados.

Não há, até o momento, indicação pública de exploração ativa. Contudo, o histórico recente do produto sugere que a janela entre a divulgação do patch e a tentativa de exploração massiva costuma ser curta — motivo pelo qual a Zimbra classificou o update como prioridade máxima.

Detalhes da vulnerabilidade

Falhas de XSS ocorrem quando uma aplicação insere dados não confiáveis em uma página web sem sanitização ou escaping adequados, permitindo que scripts controlados pelo atacante sejam executados no contexto do domínio da vítima. Em um cenário de stored XSS — o mais perigoso da família — o payload malicioso é persistido no servidor (neste caso, dentro do próprio e-mail salvo na caixa postal) e disparado toda vez que a mensagem for aberta.

“O update corrige um problema de segurança no Classic Web Client em que um e-mail especialmente criado pode executar código malicioso quando a mensagem é aberta. Se explorado, pode permitir acesso a informações da caixa postal, dados de sessão ou configurações da conta.” — Zimbra

Na prática, isso significa que o atacante não precisa comprometer previamente credenciais nem enganar a vítima com engenharia social sofisticada. Basta que o e-mail chegue à caixa de entrada e seja visualizado. Uma vez executado, o script pode roubar tokens de sessão, exfiltrar mensagens, alterar filtros de encaminhamento ou até plantar mecanismos de persistência dentro da própria conta comprometida.

Quem é afetado

A falha atinge instalações do Zimbra Collaboration Suite anteriores à versão 10.1.19 que ainda utilizam o Classic Web Client. Entre os perfis tipicamente expostos estão:

  • Órgãos públicos e universidades que mantêm Zimbra on-premises por razões de soberania de dados
  • Provedores de serviços gerenciados (MSPs) que hospedam múltiplos tenants
  • Empresas de médio porte que optaram pelo Zimbra como alternativa ao Microsoft 365 ou Google Workspace
  • Ambientes militares e diplomáticos historicamente visados por atores estatais

Análise

O Zimbra virou um dos alvos preferidos de grupos APT e cibercriminosos oportunistas ao longo dos últimos anos justamente porque combina três características que atacantes adoram: base instalada relevante, foco em setores de alto valor (governo, defesa, educação) e um histórico recorrente de vulnerabilidades XSS no Classic Web Client. Só em 2024 e 2025 vimos exploração em massa de CVE-2023-37580 e CVE-2024-27443, e em outubro passado surgiram alegações — negadas pela Zimbra por falta de evidências — de que a CVE-2025-27915 teria sido usada como zero-day contra o Exército Brasileiro.

O padrão importa: quase todas essas falhas seguem o mesmo playbook técnico (payload armazenado em cabeçalho ou corpo do e-mail, execução no domínio do webmail, escalada para exfiltração via API interna). Isso sugere que a superfície de ataque do Classic Web Client permanece estruturalmente frágil e que a única mitigação efetiva a médio prazo é migrar para a interface Modern, isolar o webmail atrás de camadas adicionais (browser isolation, políticas CSP mais restritivas) ou reduzir dependência do cliente clássico.

Para operações de defesa, o alerta tem outro subtexto: a ausência de CVE público na data da divulgação não significa que atacantes não tenham chegado ao mesmo bug de forma independente. Historicamente, o intervalo entre patch da Zimbra e prova de conceito circulando em fóruns de exploit costuma ser de dias, não semanas.

Recomendações práticas

  • Atualizar imediatamente para o Zimbra Collaboration Suite 10.1.19, priorizando servidores expostos à internet
  • Auditar logs de acesso ao webmail em busca de sessões suspeitas iniciadas nos últimos 30 dias
  • Forçar revogação de tokens ativos e exigir nova autenticação após o patch
  • Revisar regras de encaminhamento automático e filtros aplicados em caixas de usuários VIP
  • Considerar mover usuários críticos para o Modern Web Client, que não compartilha a mesma superfície de renderização
  • Ativar CSP e restringir execução de JavaScript inline via cabeçalhos de resposta do proxy reverso à frente do Zimbra
  • Habilitar MFA baseada em hardware para acesso administrativo, reduzindo o valor de sessões roubadas

Fonte: The Hacker News

TheNinja

Recent Posts

Okta alerta para campanha de vishing “Pink” que registra passkeys adversariais em contas Microsoft 365

Grupo O-UNC-066/Pink combina chamadas telefônicas com páginas falsas do Entra ID para enrolar passkeys controlados…

6 horas ago

CISA publica post-mortem de vazamento de chaves AWS GovCloud em GitHub pessoal de contratado

CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…

6 horas ago

ANPD publica o 1º relatório do sandbox de IA: Metatext, Synapse AI e Prevvine sob supervisão desde março

ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…

10 horas ago

Grok 4.5 gasta 4,2x menos tokens que Opus 4.8 no SWE-Bench Pro: SpaceXAI aposta na eficiência para vencer no custo por tarefa

Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…

10 horas ago

Qualcomm compra Modular por US$ 3,9 bi para atacar o fosso do CUDA: MAX e Mojo entram na guerra por data centers

Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…

10 horas ago