Een probleem met Zimbra tegenwoordig is dat ze de open source variant saboteren. Niet alleen leveren ze geen builds meer voor open source versies, wat nu door vrijwilligers wordt gedaan, maar ze stellen ook security updates onder embargo. Die vrijwilligers plukken ze soms uit de packages en patchen het, maar niet altijd. Zo is er naast de genoemde CVE voor een XSS nog een: CVE-2026-33368. Details onbekend. Ik heb zelf zimbra achter een HTTPS en IMAPS proxy omdat die poorten gewoon echt niet meer open kunnen. Ook heb ik de viruscanner (clamav) uitgezet omdat die ook meer kwaad dan goed doet: al regelmatig zit daar een remote code execution bug in, wat betekent dat je iemand gewoon een malafide zip of pdf kan sturen en je bent gehackt. Deze XSS kwetsbaarheden zijn ook nog eens naar, want dat kan ook gewoon door iemand iets te mailen. Ik heb met wat mensen op het forum gekeken of het te beschermen is met 'content security policy' (waar je mee kan toestaan welke code een browser mag uitvoeren), maar dat is ...