TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > アプリ: Zimbra Collaboration Suite / ZCS > CISA orders feds to patch Zimbra XSS flaw exploited in attacks

CISA orders feds to patch Zimbra XSS flaw exploited in attacks

アプリ: Zimbra Collaboration Suite / ZCS CVE-2025-66376 脆弱性: XSS / クロスサイトスクリプティング 攻撃組織: Winter Vivern ベンダー: Zimbra CVE-2025-27915

【要点】

◎CISAはZimbraのXSS脆弱性(CVE-2025-66376)が悪用されているとしてKEVに追加し、米政府機関にパッチ適用を指示。セッション乗っ取りや情報窃取の恐れがある (BleepingComputer)


【訳】

CISA、攻撃で悪用されたZimbraのXSS脆弱性へのパッチ適用を連邦政府機関に指示


【脆弱性内容】

公開日
登録日
CVE番号
NVD
ベンダー
CVSS v4
CVSS v3
CWE
脆弱性
KEV
備考
2026/01/05 2025/11/28 CVE-2025-66376 NVD Zimbra -
7.2(MITRE)
 CWE-79 クロスサイトスクリプティング 2026/03/18 Collaboration


【要約】

CISAはZimbra Collaboration Suiteの保存型XSS脆弱性(CVE-2025-66376)が実際に悪用されているとしてKEVカタログに追加し、米連邦機関に対し4月1日までの対応を指示した。この脆弱性はClassic UIにおいてHTMLメール内のCSSの@importを悪用することで任意のJavaScriptを実行可能となり、ユーザーセッションの乗っ取りや機密情報の窃取につながる恐れがある。すでに2025年11月に修正済みだが、未適用環境が攻撃対象となっている。CISAは民間組織にも速やかなパッチ適用や緩和策の実施、場合によっては利用停止を推奨している。


【ニュース】

◆CISA orders feds to patch Zimbra XSS flaw exploited in attacks (BleepingComputer, 2026/03/18 15:57)
[CISA、攻撃で悪用されたZimbraのXSS脆弱性へのパッチ適用を連邦政府機関に指示]
https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-zimbra-xss-flaw-exploited-in-attacks/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022