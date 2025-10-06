Een kritieke cross-site scripting (XSS)-kwetsbaarheid in de Zimbra-webmailclient is actief gebruikt bij aanvallen op organisaties, waaronder het Braziliaanse leger, voordat een beveiligingsupdate beschikbaar was. Dat laat securitybedrijf StrikeReady in een analyse weten. XSS-beveiligingslekken in Zimbra zijn in het verleden vaker ingezet tegen organisaties en gebruikers die met Zimbra werken. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt.

Op 27 januari dit jaar kwam Zimba met een beveiligingsupdate aangeduid als CVE-2025-27915. Het gaat om een stored XSS-lek waardoor een aanvaller willekeurige JavaScript in de webmailsessie van het slachtoffer kan uitvoeren. Zo is het bijvoorbeeld mogelijk voor een aanvaller om een filter in te stellen waardoor berichten naar een e-mailadres van de aanvaller worden doorgestuurd. Daarnaast kan de aanvaller ook aanwezige e-mail stelen.

De enige vereiste voor het uitvoeren van de aanval is dat het doelwit een e-mail opent die een malafide ICS-bestand als bijlage heeft. Het script dat vervolgens wordt uitgevoerd steelt allerlei data. Zo wordt gezocht naar app-specifieke inloggegevens in e-mails en worden ook contacten en gedeelde mappen naar de aanvallers gestuurd. Ook monitort het script of de gebruiker is ingelogd en actief is. Wanneer de gebruiker inactief is, wordt die uitgelogd en zijn data gestolen.

Tevens creëert het script verborgen invoervelden voor gebruikersnaam en wachtwoord. Deze velden zijn onzichtbaar voor de gebruiker, maar kunnen zijn inloggegevens stelen als hij inlogt, aldus de onderzoekers. Die ontdekten op 4 januari een e-mail die van CVE-2025-27915 misbruik maakt, ruim drie weken voordat de patch beschikbaar was. Hoeveel organisaties via de XSS-kwetsbaarheid zijn aangevallen is niet bekend.