Может ли обычное письмо взломать вашу почту в Zimbra?

Компания Zimbra выпустила экстренное предупреждение своим клиентам: нужно срочно ставить обновления. Причина — критическая уязвимость типа stored XSS (хранимый межсайтовый скриптинг) в Classic Web Client, классическом веб-клиенте почтовой системы. Проблема серьёзная: достаточно специально сформированного письма, чтобы запустить вредоносный код прямо в сессии пользователя.
Может ли обычное письмо взломать вашу почту в Zimbra?
Изображение носит иллюстративный характер

Механизм атаки прост до неприятного. Злоумышленник отправляет письмо с внедрённым скриптом. Жертва открывает его — и код выполняется в браузере, причём без каких-либо дополнительных действий со стороны пользователя. В официальном заявлении Zimbra это описано так: «Обновление устраняет проблему безопасности в Classic Web Client, при которой специально сформированное письмо могло запускать вредоносный код при открытии. В случае эксплуатации это могло дать доступ к информации о почтовом ящике, данным сессии или настройкам учётной записи».
CVE-идентификатор новой уязвимости пока не присвоен, что само по себе не редкость для свежих находок — процесс регистрации часто отстаёт от публикации патча на недели, а то и месяцы.
Стоит понимать, что такое XSS вообще. Уязвимость возникает, когда приложение вставляет непроверенные данные в веб-страницу без должной фильтрации или экранирования. В результате атакующий может внедрить произвольный JavaScript, который выполнится в браузере жертвы. Последствия предсказуемы: перехват сессии, кража учётных данных, полная компрометация аккаунта.
Хранимая (persistent) разновидность XSS опаснее рефлективной по одной простой причине — вредоносный скрипт не исчезает после одного запроса, а оседает на сервере, обычно в базе данных. Замаскированный под безобидный комментарий или сообщение на форуме, он срабатывает автоматически у каждого, кто откроет заражённую страницу. В случае Zimbra таким «форумом» становится письмо в почтовом ящике.
Сама компания подчёркивает: подтверждённых случаев эксплуатации именно этой, новой уязвимости в реальных атаках зафиксировано не было. Но история Zimbra говорит сама за себя — XSS-баги в этом продукте атакующие используют регулярно, ещё с декабря 2021 года. То есть речь не о разовом инциденте, а о повторяющемся паттерне слабости конкретного компонента системы.
Один из самых показательных примеров — CVE-2025-27915, тоже хранимая XSS в Classic Web Client с оценкой CVSS 5.4. В октябре прошлого года появились сообщения об эксплуатации этой уязвимости как zero-day, мишенью якобы стали военные структуры Бразилии. Zimbra, впрочем, заявила изданию The Hacker News, которое обратилось к компании за комментарием, что никаких доказательств подобной атаки найдено не было.
К этому же списку добавляются CVE-2023-37580 и CVE-2024-27443 — обе тоже относятся к XSS-уязвимостям, которые злоумышленники успешно применяли на практике. Три похожих бага за неполных два года — многовато для случайности.
Рекомендация для всех пользователей и клиентов Zimbra однозначная — обновиться до Zimbra Collaboration Suite версии 10.1.19. Учитывая, насколько привлекательным вектором атаки оказываются XSS-уязвимости для злоумышленников (просто письмо, никакого социального инжиниринга сверх открытия сообщения), откладывать установку патча смысла нет.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка