Selon BleepingComputer, CISA a ordonné aux agences gouvernementales américaines de sécuriser leurs serveurs confrontés à une vulnérabilité activement exploitée affectant Zimbra Collaboration Suite (ZCS).

Vulnérabilité Zimbra (CVE-2025-66376)

Détails

  • Produit : Zimbra Collaboration Suite (ZCS)
  • Type : Stored XSS
  • Gravité : élevée
  • Patch : novembre 2025

Description

La vulnérabilité affecte l’interface :

C l a s s i c U I

Elle permet à un attaquant distant non authentifié de :

  • injecter du code malveillant via des emails HTML
  • exploiter les directives CSS :
@ i m p o r t

Impact

  • exécution de scripts dans le navigateur des utilisateurs
  • vol de session
  • compromission de comptes
  • pivot vers d’autres systèmes internes.

Contexte

Zimbra est largement utilisé :

  • entreprises
  • administrations
  • centaines de millions d’utilisateurs

➡️ Surface d’attaque importante.

Cet article est un compte-rendu concis d’une alerte officielle, visant à signaler l’existence d’une faille en cours d’exploitation et l’instruction de mitigation imposée aux entités gouvernementales.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-zimbra-xss-flaw-exploited-in-attacks/