Aanvallers maken actief misbruik van relatief nieuwe kwetsbaarheden in Zimbra, Versa Concerto en Vite, zo waarschuwt het Amerikaanse cyberagentschap CISA. Misbruik van deze lekken was nog niet bekend. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt.

Een local file inclusion (LFI) kwetsbaarheid in de webmail van Zimbra maakt het voor ongeauthenticeerde aanvallers mogelijk om gevoelige bestanden te lezen, zoals configuraties en omgevingsvariabelen, inloggegevens te stelen, informatie voor verdere aanvallen te verzamelen of te combineren met andere kwetsbaarheden om systemen verder te compromitteren. Zimbra kwam op 6 november vorig jaar met een update voor de kwetsbaarheid, aangeduid als CVE-2025-68645.

Aanvallers maken ook actief misbruik van een kritiek lek in het Versa Concerto SD-WAN orchestration platform (CVE-2025-34026), aldus het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). Een kritieke "authentication bypass" kwetsbaarheid in deze oplossing maakt het voor ongeauthenticeerde aanvallers mogelijk om toegang tot "administrative endpoints" te krijgen. Vorig jaar maart kwam Versa met hotfixes voor het probleem.

De derde aangevallen kwetsbaarheid bevindt zich in Vite, ook wel Vitejs genoemd. Dit is een frontend tooling framework voor JavaScript. Via het beveiligingslek (CVE-2025-31125) kan een aanvaller de inhoud van "non-allowed" bestanden uitlezen. Vorig jaar maart verschenen patches voor de kwetsbaarheid. Het Amerikaanse cyberagentschap geeft geen details over de waargenomen aanvallen. Wel zijn Amerikaanse overheidsinstanties opgedragen om de patches voor de drie kwetsbaarheden binnen drie weken te installeren.