Gebruikers van Zimbra-webmail zijn het doelwit van aanvallen waarbij er misbruik wordt gemaakt van een cross-site scripting (XSS) kwetsbaarheid. Dat meldt het Amerikaanse cyberagentschap CISA. Eind vorig jaar verscheen er een beveiligingsupdate voor het probleem, aangeduid als CVE-2025-66376. XSS-kwetsbaarheden in Zimbra zijn geregeld gebruikt bij aanvallen.

Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Cross-site scripting is een beveiligingsprobleem dat al decennia bekend is en ervoor zorgt dat aanvallers malafide code op een kwetsbare website of webapplicatie kunnen 'injecteren' die vervolgens in de browser van gebruikers wordt uitgevoerd. Zo is het bijvoorbeeld mogelijk om cookies te stelen en toegang tot een account te krijgen.

In het geval van CVE-2025-66376 versturen aanvallers speciaal geprepareerde HTML-mails. Zodra het doelwit de mail opent wordt er willekeurige JavaScript in de webmailsessie van het slachtoffer uitgevoerd. Zo is het bijvoorbeeld mogelijk voor een aanvaller om een filter in te stellen waardoor berichten naar een e-mailadres van de aanvaller worden doorgestuurd. Daarnaast kan de aanvaller ook aanwezige e-mail stelen. De kwetsbaarheid werd gerapporteerd door het National Cyber Security Centre Finland (NCSC-FI).

Het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat weten dat de kwetsbaarheid bij aanvallen tegen Zimbra-gebruikers is ingezet, maar geeft geen details over de aanvallen. Volgens het CISA zijn in totaal acht verschillende XSS-lekken in Zimbra in het verleden bij aanvallen gebruikt.