Podatność w kliencie pocztowym Zimbra
Zespół CERT Polska informuje o poprawce bezpieczeństwa usuwającej podatność typu Stored Cross-Site Scripting (XSS) w kliencie pocztowym Zimbra.
Podatność nie posiada jeszcze nadanego numeru CVE i umożliwia atakującemu wykonanie dowolnego kodu JavaScript w kontekście przeglądarki po otwarciu przez użytkownika odpowiednio spreparowanej wiadomości. Podatność dotyczy wyłącznie widoku klasycznego (Classic Web Client) i została wyeliminowana w wersji 10.1.19.
Zgodnie z informacją od producenta, wykorzystanie luki może prowadzić do nieautoryzowanego dostępu do informacji w skrzynce pocztowej, danych sesji oraz ustawień konta. Zaznaczamy, że w przeszłości podobne podatności w innych klientach pocztowych były wykorzystywane do przejmowania skrzynek pocztowych i wykradania historii korespondencji: https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/.
Zalecamy jak najszybszą aktualizację systemów Zimbra do wersji 10.1.19.
Więcej informacji mogą Państwo znaleźć na stronie producenta:
https://blog.zimbra.com/2026/07/patch-release-update-zimbra-10-1-19/