Zimbra は 2026 年 7 月 11 日、Collaboration Suite の Classic Web Client に存在する重大な保存型 XSS 脆弱性を告知し、顧客に緊急パッチ適用を呼びかけました。細工されたメールを開いた瞬間にユーザーセッションで任意の JavaScript が実行され、メールボックスや設定へのアクセスにつながります。
主なポイント
- 影響は Classic Web Client 系。Modern UI 利用組織はデフォルトでは影響が限定的とされる
- 想定攻撃は「メールを開く」だけで成立し、認証済みユーザー権限でスクリプトが動作する
- 推奨対応は Zimbra Collaboration Suite 10.1.19 への更新。CVE 番号はリリース時点で未割当
- Zimbra XSS は過去にも標的型に悪用されており、2025 年 10 月の CVE-2025-27915 はブラジル軍関連組織へのゼロデイ悪用が報告された
- 更新までの暫定策として、Modern UI への強制切替や外部メール HTML の無害化強化が考えられる
出典: Critical Zimbra Flaw Could Let Crafted Emails Run Malicious Code in User Sessions