Zimbra orienta clientes a corrigirem falha crítica de XSS no web client
10 de Julho de 2026

A equipe de segurança da Zimbra pediu que os clientes aplicassem um patch para corrigir uma vulnerabilidade crítica que afeta o Classic Web Client, usado para acessar a suíte Zimbra Collaboration.

A Zimbra é uma suíte de e-mail e colaboração amplamente usada por centenas de milhões de pessoas, incluindo milhares de empresas e centenas de órgãos governamentais em todo o mundo.

Também conhecida como Classic UI, essa interface de webmail baseada em Ajax é mais rápida do que o cliente web moderno da Zimbra, que exige mais recursos ao carregar grandes pastas de e-mail.

A empresa lançou nesta terça-feira o Zimbra 10.1.19 para corrigir essa falha de segurança do tipo stored cross-site scripting (XSS), que ainda não recebeu um identificador CVE para facilitar o rastreamento.

Ataques podem explorar o problema no Classic Web Client por meio de e-mails especialmente preparados, capazes de executar código malicioso quando a mensagem é aberta.

Se a exploração for bem-sucedida, threat actors podem roubar dados de sessão, configurações da conta ou informações da caixa de correio.

“Qualquer cliente que use o Classic Web Client deve atualizar para o ZCS v10.1.19 o quanto antes, pois este problema afeta apenas os usuários do Classic Web Client”, alertou a Zimbra.

“Recomendamos fortemente a atualização para esta versão para manter seu ambiente seguro.”

Embora a Zimbra ainda não tenha classificado essa vulnerabilidade como explorada em ataques reais, a falha foi reportada pelo Threat Analysis Group do Google, que frequentemente identifica exploits de zero-day usados por grupos de hackers patrocinados por Estados para atacar pessoas em situação de alto risco, incluindo políticos de oposição, dissidentes e jornalistas.

Nos últimos anos, falhas de segurança na Zimbra têm sido exploradas com frequência em ataques de hackers apoiados pelo Estado russo para comprometer milhares de servidores vulneráveis.

Em um exemplo, o grupo de hackers Winter Vivern, ligado à Rússia, usou um exploit de XSS refletido para invadir portais de webmail da Zimbra em fevereiro de 2023 e roubar e-mails de organizações e pessoas alinhadas à OTAN, incluindo autoridades governamentais, militares e diplomatas.

Em outubro de 2024, agências cibernéticas dos Estados Unidos e do Reino Unido também alertaram que hackers do APT29, também conhecido como Midnight Blizzard e Cozy Bear, e ligado ao Serviço de Inteligência Exterior da Rússia, o SVR, estavam mirando servidores Zimbra vulneráveis “em grande escala” com um exploit que explorava uma falha anteriormente usada para roubar credenciais de contas de e-mail.

Mais recentemente, em março, a Cybersecurity and Infrastructure Security Agency, a CISA, determinou que agências federais corrigissem outra falha de XSS na Zimbra, identificada como CVE-2025-66376 , explorada por hackers ligados ao grupo APT28, associado à inteligência militar russa, em ataques contra entidades do governo ucraniano.

Em abril, a organização sem fins lucrativos Shadowserver alertou que mais de 10.500 instâncias do Zimbra Collaboration Suite, o ZCS, expostas na internet ainda estavam vulneráveis a ataques em andamento que exploravam outra falha de segurança do tipo cross-site scripting, rastreada como CVE-2025-48700 .

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...