Nach Angaben von Zimbra betrifft die Schwachstelle den Classic Web Client, der zum Zugriff auf die Zimbra Collaboration Suite verwendet wird. Die Weboberfläche auf Ajax-Basis gilt als ressourcenschonender als der moderne Web Client, insbesondere beim Laden großer E-Mail-Ordner. Zimbra warnt jedoch, dass genau Nutzer dieser klassischen Oberfläche die neue Version 10.1.19 „so schnell wie möglich“ einspielen sollten, da sich das Problem auf diesen Teil des Produkts beschränkt.

Bei der Lücke handelt es sich um eine gespeicherte XSS-Schwachstelle. Sie kann laut Hersteller über eigens präparierte E-Mails ausgelöst werden, die beim Öffnen bösartigen Code ausführen. Als mögliche Folge nennt Zimbra den Diebstahl von Sitzungsdaten, Kontoeinstellungen oder Postfachinformationen. Eine Kennung zur leichteren Nachverfolgung wurde der Schwachstelle bislang noch nicht zugewiesen.

Besondere Aufmerksamkeit erhält der Fall auch wegen der Quelle des Hinweises: Gemeldet wurde die Lücke von Googles Threat Analysis Group. Diese Einheit macht regelmäßig auf Zero-Day-Ausnutzung durch staatlich unterstützte Hackergruppen aufmerksam, die sich gegen Personen mit hohem Risiko richten, darunter Oppositionspolitiker, Dissidenten und Journalisten. Zimbra selbst erklärt allerdings, die aktuelle Schwachstelle bislang nicht als „in freier Wildbahn“ ausgenutzt markiert zu haben.

Dass Zimbra-Systeme für Angreifer attraktiv sind, zeigen mehrere vom Quelltext genannte Fälle aus den vergangenen Jahren. So setzte die russisch unterstützte Gruppe Winter Vivern im Februar 2023 einen reflektierten XSS-Exploit ein, um in Zimbra-Webmail-Portale einzudringen und E-Mails von NATO-nahen Organisationen und Einzelpersonen zu stehlen, darunter Regierungsvertreter, Militärangehörige und Diplomaten.

Im Oktober 2024 warnten US-amerikanische und britische Cyberbehörden zudem, dass APT29, auch als Midnight Blizzard und Cozy Bear bekannt und dem russischen Auslandsgeheimdienst SVR zugerechnet, verwundbare Zimbra-Server „in großem Maßstab“ attackiere. Dabei nutzten die Angreifer einen Exploit für eine Schwachstelle, die bereits zuvor zum Diebstahl von Zugangsdaten für E-Mail-Konten missbraucht worden war.

Auch in jüngerer Zeit standen Zimbra-Lücken im Fokus. Im März ordnete die Cybersecurity and Infrastructure Security Agency (CISA) an, dass Bundesbehörden eine weitere Zimbra-XSS-Schwachstelle mit der Kennung CVE-2025-66376 patchen müssen. Diese war laut Quelle von Hackern mit Verbindungen zur Gruppe APT28 ausgenutzt worden, die dem russischen Militärgeheimdienst zugerechnet wird, und zwar bei Angriffen auf ukrainische Regierungsstellen.

Im April wiederum warnte die gemeinnützige Sicherheitsorganisation Shadowserver, dass noch mehr als 10.500 direkt aus dem Internet erreichbare Instanzen der Zimbra Collaboration Suite für laufende Angriffe auf eine andere XSS-Schwachstelle anfällig seien. Diese Lücke wird unter CVE-2025-48700 geführt.