Компания Zimbra выпустила экстренное предупреждение своим клиентам: нужно срочно ставить обновления. Причина — критическая уязвимость типа stored XSS (хранимый межсайтовый скриптинг) в Classic Web Client, классическом веб-клиенте почтовой системы. Проблема серьёзная: достаточно специально сформированного письма, чтобы запустить вредоносный код прямо в сессии пользователя.

Механизм атаки прост до неприятного. Злоумышленник отправляет письмо с внедрённым скриптом. Жертва открывает его — и код выполняется в браузере, причём без каких-либо дополнительных действий со стороны пользователя. В официальном заявлении Zimbra это описано так: «Обновление устраняет проблему безопасности в Classic Web Client, при которой специально сформированное письмо могло запускать вредоносный код при открытии. В случае эксплуатации это могло дать доступ к информации о почтовом ящике, данным сессии или настройкам учётной записи».
CVE-идентификатор новой уязвимости пока не присвоен, что само по себе не редкость для свежих находок — процесс регистрации часто отстаёт от публикации патча на недели, а то и месяцы.
Стоит понимать, что такое XSS вообще. Уязвимость возникает, когда приложение вставляет непроверенные данные в веб-страницу без должной фильтрации или экранирования. В результате атакующий может внедрить произвольный JavaScript, который выполнится в браузере жертвы. Последствия предсказуемы: перехват сессии, кража учётных данных, полная компрометация аккаунта.
Хранимая (persistent) разновидность XSS опаснее рефлективной по одной простой причине — вредоносный скрипт не исчезает после одного запроса, а оседает на сервере, обычно в базе данных. Замаскированный под безобидный комментарий или сообщение на форуме, он срабатывает автоматически у каждого, кто откроет заражённую страницу. В случае Zimbra таким «форумом» становится письмо в почтовом ящике.
Сама компания подчёркивает: подтверждённых случаев эксплуатации именно этой, новой уязвимости в реальных атаках зафиксировано не было. Но история Zimbra говорит сама за себя — XSS-баги в этом продукте атакующие используют регулярно, ещё с декабря 2021 года. То есть речь не о разовом инциденте, а о повторяющемся паттерне слабости конкретного компонента системы.
Один из самых показательных примеров — CVE-2025-27915, тоже хранимая XSS в Classic Web Client с оценкой CVSS 5.4. В октябре прошлого года появились сообщения об эксплуатации этой уязвимости как zero-day, мишенью якобы стали военные структуры Бразилии. Zimbra, впрочем, заявила изданию The Hacker News, которое обратилось к компании за комментарием, что никаких доказательств подобной атаки найдено не было.
К этому же списку добавляются CVE-2023-37580 и CVE-2024-27443 — обе тоже относятся к XSS-уязвимостям, которые злоумышленники успешно применяли на практике. Три похожих бага за неполных два года — многовато для случайности.
Рекомендация для всех пользователей и клиентов Zimbra однозначная — обновиться до Zimbra Collaboration Suite версии 10.1.19. Учитывая, насколько привлекательным вектором атаки оказываются XSS-уязвимости для злоумышленников (просто письмо, никакого социального инжиниринга сверх открытия сообщения), откладывать установку патча смысла нет.

Изображение носит иллюстративный характер
Механизм атаки прост до неприятного. Злоумышленник отправляет письмо с внедрённым скриптом. Жертва открывает его — и код выполняется в браузере, причём без каких-либо дополнительных действий со стороны пользователя. В официальном заявлении Zimbra это описано так: «Обновление устраняет проблему безопасности в Classic Web Client, при которой специально сформированное письмо могло запускать вредоносный код при открытии. В случае эксплуатации это могло дать доступ к информации о почтовом ящике, данным сессии или настройкам учётной записи».
CVE-идентификатор новой уязвимости пока не присвоен, что само по себе не редкость для свежих находок — процесс регистрации часто отстаёт от публикации патча на недели, а то и месяцы.
Стоит понимать, что такое XSS вообще. Уязвимость возникает, когда приложение вставляет непроверенные данные в веб-страницу без должной фильтрации или экранирования. В результате атакующий может внедрить произвольный JavaScript, который выполнится в браузере жертвы. Последствия предсказуемы: перехват сессии, кража учётных данных, полная компрометация аккаунта.
Хранимая (persistent) разновидность XSS опаснее рефлективной по одной простой причине — вредоносный скрипт не исчезает после одного запроса, а оседает на сервере, обычно в базе данных. Замаскированный под безобидный комментарий или сообщение на форуме, он срабатывает автоматически у каждого, кто откроет заражённую страницу. В случае Zimbra таким «форумом» становится письмо в почтовом ящике.
Сама компания подчёркивает: подтверждённых случаев эксплуатации именно этой, новой уязвимости в реальных атаках зафиксировано не было. Но история Zimbra говорит сама за себя — XSS-баги в этом продукте атакующие используют регулярно, ещё с декабря 2021 года. То есть речь не о разовом инциденте, а о повторяющемся паттерне слабости конкретного компонента системы.
Один из самых показательных примеров — CVE-2025-27915, тоже хранимая XSS в Classic Web Client с оценкой CVSS 5.4. В октябре прошлого года появились сообщения об эксплуатации этой уязвимости как zero-day, мишенью якобы стали военные структуры Бразилии. Zimbra, впрочем, заявила изданию The Hacker News, которое обратилось к компании за комментарием, что никаких доказательств подобной атаки найдено не было.
К этому же списку добавляются CVE-2023-37580 и CVE-2024-27443 — обе тоже относятся к XSS-уязвимостям, которые злоумышленники успешно применяли на практике. Три похожих бага за неполных два года — многовато для случайности.
Рекомендация для всех пользователей и клиентов Zimbra однозначная — обновиться до Zimbra Collaboration Suite версии 10.1.19. Учитывая, насколько привлекательным вектором атаки оказываются XSS-уязвимости для злоумышленников (просто письмо, никакого социального инжиниринга сверх открытия сообщения), откладывать установку патча смысла нет.