Nieuws
image

Gebruikers van Zimbra-webmail aangevallen via XSS-kwetsbaarheid

donderdag 19 maart 2026, 10:14 door Redactie, 2 reacties

Gebruikers van Zimbra-webmail zijn het doelwit van aanvallen waarbij er misbruik wordt gemaakt van een cross-site scripting (XSS) kwetsbaarheid. Dat meldt het Amerikaanse cyberagentschap CISA. Eind vorig jaar verscheen er een beveiligingsupdate voor het probleem, aangeduid als CVE-2025-66376. XSS-kwetsbaarheden in Zimbra zijn geregeld gebruikt bij aanvallen.

Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Cross-site scripting is een beveiligingsprobleem dat al decennia bekend is en ervoor zorgt dat aanvallers malafide code op een kwetsbare website of webapplicatie kunnen 'injecteren' die vervolgens in de browser van gebruikers wordt uitgevoerd. Zo is het bijvoorbeeld mogelijk om cookies te stelen en toegang tot een account te krijgen.

In het geval van CVE-2025-66376 versturen aanvallers speciaal geprepareerde HTML-mails. Zodra het doelwit de mail opent wordt er willekeurige JavaScript in de webmailsessie van het slachtoffer uitgevoerd. Zo is het bijvoorbeeld mogelijk voor een aanvaller om een filter in te stellen waardoor berichten naar een e-mailadres van de aanvaller worden doorgestuurd. Daarnaast kan de aanvaller ook aanwezige e-mail stelen. De kwetsbaarheid werd gerapporteerd door het National Cyber Security Centre Finland (NCSC-FI).

Het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat weten dat de kwetsbaarheid bij aanvallen tegen Zimbra-gebruikers is ingezet, maar geeft geen details over de aanvallen. Volgens het CISA zijn in totaal acht verschillende XSS-lekken in Zimbra in het verleden bij aanvallen gebruikt.

Reacties (2)
Reageer met quote
Gisteren, 09:57 door Anoniem
Zijn hier Belgische bezoekers die weten of Telenet gebruik maakt van Zimbra voor hun webmail client ?
Reageer met quote
Gisteren, 11:32 door Anoniem
Een probleem met Zimbra tegenwoordig is dat ze de open source variant saboteren. Niet alleen leveren ze geen builds meer voor open source versies, wat nu door vrijwilligers wordt gedaan, maar ze stellen ook security updates onder embargo. Die vrijwilligers plukken ze soms uit de packages en patchen het, maar niet altijd. Zo is er naast de genoemde CVE voor een XSS nog een: CVE-2026-33368. Details onbekend.

Ik heb zelf zimbra achter een HTTPS en IMAPS proxy omdat die poorten gewoon echt niet meer open kunnen. Ook heb ik de viruscanner (clamav) uitgezet omdat die ook meer kwaad dan goed doet: al regelmatig zit daar een remote code execution bug in, wat betekent dat je iemand gewoon een malafide zip of pdf kan sturen en je bent gehackt.

Deze XSS kwetsbaarheden zijn ook nog eens naar, want dat kan ook gewoon door iemand iets te mailen. Ik heb met wat mensen op het forum gekeken of het te beschermen is met 'content security policy' (waar je mee kan toestaan welke code een browser mag uitvoeren), maar dat is niet te doen. Zimbra genereert alle in-line javascript dynamisch, dus het wordt een puinhoop. Ze moeten dat compleet herzien, ipv steeds weer eens hier en daar wat user input santizen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search