U Zimbra Classic Web Klijentu je otkrivena kritična sigurnosna ranjivost koja omogućava napadačima izvršavanje proizvoljnog JavaScript koda putem upornih napada unakrsnog skriptiranja (XSS).
Ova ranjivost, označena kao CVE-2025-27915, predstavlja ozbiljan rizik za organizacije koje koriste pogođene verzije Zimbre, zbog čega stručnjaci za sigurnost preporučuju hitno uvođenje zakrpa.
**Sažetak:**
1. Zimbra Classic Web Klijent posjeduje ranjivost upornog unakrsnog skriptiranja (CVE-2025-27915) koja dopušta izvršavanje proizvoljnog JavaScript koda.
2. Kroz ubacivanje zlonamjernih skripti koje trajno ostaju, napadači mogu ukrasti vjerodajnice, preuzeti sesije i vršiti neovlaštene radnje.
3. Sigurnosna ažuriranja s poboljšanom provjerom unosa dostupna su za verzije 9.0.0 Patch 46, 10.0.15 i 10.1.9.
**Kritična ranjivost upornog XSS napada**
Ova ranjivost se manifestuje kao propust u upornom unakrsnom skriptiranju (XSS), koji zlonamjernim akterima daje mogućnost ubacivanja i pokretanja proizvoljnog JavaScript koda unutar okruženja Zimbra Classic Web Klijenta.
Za razliku od reflektiranih XSS napada, koji zahtijevaju interakciju korisnika, uporne XSS ranjivosti su posebno opasne jer zlonamjerni sadržaj ostaje na serveru i automatski se izvršava kada korisnici pristupe kompromitiranom sadržaju.
Problem proizlazi iz nedostatka adekvatne provjere unosa u sučelju Classic Web Klijenta, što napadačima omogućava zaobilaženje postojećih sigurnosnih mehanizama i direktno ubacivanje zlonamjernih skripti u aplikaciju.
Nakon uspješne eksploatacije, napadači potencijalno mogu ukrasti kolačiće sesije, prikupiti osjetljive korisničke vjerodajnice, izmijeniti sadržaj elektroničke pošte ili vršiti neovlaštene radnje u ime legitimnih korisnika.
Mogućnost izvršavanja proizvoljnog JavaScript koda daje napadačima značajnu kontrolu nad okruženjem na strani klijenta, čineći ovo sigurnosnim problemom visokog prioriteta.
Sigurnosni istraživači naglašavaju da ova ranjivost utječe na osnovnu funkcionalnost Zimbrinog klijenta za e-poštu putem interneta, potencijalno izlažući milione korisnika širom svijeta sofisticiranim fišing kampanjama i pokušajima iznošenja podataka.
| Faktori rizika | Detalji |
| :——————– | :—————————————————————————————————- |
| Pogođeni proizvodi | Zimbra Classic Web Klijent verzije prije 9.0.0 Patch 46, 10.0.15 i 10.1.9 |
| Utjecaj | Uporno unakrsno skriptiranje (XSS) koje omogućava izvršavanje proizvoljnog JavaScript koda |
| Preduvjeti za eksploataciju | Pristup sučelju Zimbra Classic Web Klijenta, mogućnost ubacivanja zlonamjernog sadržaja putem polja za unos koja nisu adekvatno provjerena |
| CVSS 3.1 rezultat | Utvrđuje se (vjerovatno će dobiti ocjenu visoke do kritične ozbiljnosti) |
**Dostupno je ažuriranje**
Zimbra je promptno reagirala kako bi otklonila ovaj kritični sigurnosni nedostatak, objavivši sveobuhvatna ažuriranja za više verzija proizvoda.
Sigurnosno ažuriranje posebno cilja procedure provjere unosa i implementira poboljšane politike sigurnosti sadržaja (CSP) kako bi se spriječilo ubacivanje zlonamjernih skripti.
Sljedeće verzije Zimbri su dobile kritična sigurnosna ažuriranja: Zimbra 9.0.0 Patch 46, Zimbra 10.0.15 i Zimbra 10.1.9.
Ova izdanja zakrpa uključuju ojačane mehanizme provjere unosa koji pravilno kodiraju podatke koje unosi korisnik prije njihovog prikazivanja u sučelju web klijenta.
Dodatno, zakrpe implementiraju poboljšane funkcije kodiranja izlaznih podataka i napredne algoritme za raščlanjivanje HTML-a kako bi se neutralizirali potencijalno opasni elementi skripti.
Proces primjene zakrpa podrazumijeva ažuriranje ključnih Zimbrinih komponenti, uključujući konfiguraciju web servera jetty, servlet filtere i JavaScript biblioteke odgovorne za obradu korisničkog unosa u okviru Classic Web Klijent frameworka.
Administratorima Zimbri se snažno savjetuje da odmah primijene ova sigurnosna ažuriranja kako bi zaštitili svoje organizacije od potencijalnih pokušaja eksploatacije.
