Synacor, das Unternehmen hinter Zimbra, machte keine Angaben zu den möglichen Folgen eines erfolgreichen Angriffs über CVE-2025-66376. Wahrscheinlich lässt sich die Lücke jedoch ausnutzen, um über manipulierte HTML-E-Mails beliebigen JavaScript-Code auszuführen. Damit könnten Angreifer Benutzersitzungen übernehmen und sensible Daten innerhalb der kompromittierten Zimbra-Umgebung abgreifen.
Die Schwachstelle steckt in der klassischen Benutzeroberfläche und kann von entfernten, nicht authentifizierten Angreifern ausgelöst werden, indem sie CSS-@import-Direktiven im HTML von E-Mails missbrauchen. CISA trug sie an einem Mittwoch in ihren Katalog der in freier Wildbahn ausgenutzten Schwachstellen ein und verpflichtete die FCEB-Behörden, ihre Systeme binnen zwei Wochen bis zum 1. April abzusichern.
“Wenden Sie die Gegenmaßnahmen gemäß den Anweisungen des Herstellers an, befolgen Sie für Cloud-Dienste die einschlägigen Vorgaben der BOD 22-01 oder stellen Sie die Nutzung des Produkts ein, falls keine Gegenmaßnahmen verfügbar sind”, warnte die Behörde. Solche Schwachstellen seien häufige Angriffsvektoren für böswillige Akteure und stellten ein erhebliches Risiko für die Bundesverwaltung dar.
Zimbra-Schwachstellen geraten regelmäßig ins Visier von Angreifern und wurden in den vergangenen Jahren genutzt, um weltweit Tausende verwundbare E-Mail-Server zu kompromittieren. Bereits im Juni 2022 wurden Fehler zur Authentifizierungsumgehung und für Remotecodeausführung ausgenutzt, um mehr als 1.000 Server zu kompromittieren.
Ab September 2022 nutzten Angreifer eine Zero-Day-Schwachstelle in der Zimbra Collaboration Suite aus und drangen innerhalb von zwei Monaten in nahezu 900 Server ein, nachdem sie auf den betroffenen Instanzen Remotecodeausführung erlangt hatten. Die russische, staatlich gestützte Gruppe Winter Vivern setzte zudem Exploits für reflektiertes XSS ein, um die Zimbra-Webmail-Portale NATO-naher Regierungen sowie die Postfächer von Regierungsvertretern, Militärangehörigen und Diplomaten zu kompromittieren.
In jüngerer Zeit nutzten Angreifer eine weitere Zimbra-XSS-Schwachstelle (CVE-2025-27915) in Zero-Day-Angriffen aus, um beliebigen JavaScript-Code auszuführen. Dadurch konnten sie E-Mail-Filter setzen, die Nachrichten an von den Angreifern kontrollierte Server umleiteten.
