Im Mittelpunkt steht eine kritische Schwachstelle im Classic Web Client von Zimbra. Der Hersteller beschreibt sie als gespeicherte Cross-Site-Scripting-Lücke, also eine Form von XSS, bei der eingeschleuster Code dauerhaft auf dem Zielsystem hinterlegt wird und später im Browser eines Nutzers ausgeführt werden kann. In diesem Fall reicht laut Zimbra eine speziell präparierte E-Mail aus, damit beim Öffnen schädlicher Code innerhalb der laufenden Sitzung startet.

Zimbra formuliert die Auswirkungen konkret: Das Update behebe „ein Sicherheitsproblem im Classic Web Client, bei dem eine speziell präparierte E-Mail beim Öffnen schädlichen Code ausführen konnte“. Bei erfolgreicher Ausnutzung seien Zugriffe auf Postfachinformationen, Sitzungsdaten oder Kontoeinstellungen möglich. Eine CVE-Kennung existiert für die nun geschlossene Lücke bislang noch nicht.

Technisch gehört der Fehler zur Klasse der gespeicherten oder persistenten XSS-Schwachstellen. Dabei werden nicht vertrauenswürdige Inhalte ohne ausreichende Prüfung oder Maskierung in eine Webseite eingebunden. So können Angreifer JavaScript in den Browser eines Opfers einschleusen und ausführen lassen. Bei einer gespeicherten XSS-Variante wird das Skript dauerhaft auf den Servern hinterlegt, etwa in einer Datenbank, und trifft dann jeden Besucher, sobald die betreffende Seite im Browser geladen wird.

Ob die aktuelle Schwachstelle bereits bei realen Angriffen missbraucht wurde, lässt Zimbra offen. Das Unternehmen erwähnt keine Ausnutzung in freier Wildbahn. Allerdings verweist der Kontext auf eine längere Vorgeschichte: XSS-Lücken in Zimbra gelten seit Jahren als attraktives Ziel für Angreifer. Versuche, solche Schwachstellen zu bewaffnen, reichen laut Quelltext bis in den Dezember 2021 zurück.

Erst im vergangenen Oktober stand bereits eine weitere gespeicherte XSS-Lücke im Classic Web Client im Fokus: CVE-2025-27915 mit einem CVSS-Wert von 5,4. Damals hieß es, die Schwachstelle sei als Zero-Day bei Angriffen auf das brasilianische Militär ausgenutzt worden. Zimbra erklärte gegenüber The Hacker News zu diesem Zeitpunkt jedoch, keine Belege gefunden zu haben, die diese Behauptung stützten.

Zu den weiteren XSS-Schwachstellen, die nach Angaben des Quelltexts von Bedrohungsakteuren ausgenutzt wurden, zählen CVE-2023-37580 und CVE-2024-27443. Angesichts des hohen Missbrauchspotenzials empfiehlt Zimbra Anwendern das Update auf Zimbra Collaboration Suite 10.1.19.