CISA har lagt Zimbra-sårbarheten CVE-2025-66376 til sin KEV-katalog (Known Exploited Vulnerabilities) og pålagt føderale etater å sikre utsatte systemer innen 1. april. Sårbarheten er en lagret XSS-feil i Zimbra Collaboration Suite Classic UI, og er nå bekreftet brukt i faktiske angrep.
For IT-miljøer er dette en viktig prioriteringssak av to grunner. For det første er Zimbra fortsatt bredt brukt i e-post- og samhandlingsmiljøer. For det andre betyr KEV-status at sårbarheten har gått fra «teoretisk risiko» til dokumentert trusselaktivitet, noe som normalt utløser umiddelbar patching i modne sikkerhetsprogrammer.
Ifølge BleepingComputer kan feilen misbrukes via HTML-epost som utnytter…
Ifølge BleepingComputer kan feilen misbrukes via HTML-epost som utnytter CSS @import-direktiver i Classic UI. Slik utnyttelse kan i praksis gi angripere mulighet til å kjøre vilkårlig JavaScript i offerets sesjon, noe som igjen kan føre til sesjonskapring, datatilgang eller vedvarende manipulasjon av e-postflyt.
CISA understreker at BOD 22-01 formelt gjelder amerikanske føderale virksomheter, men oppfordrer samtidig alle organisasjoner til å følge leverandørens tiltak raskt. Denne typen sårbarheter brukes ofte som inngang i større kompromitteringer fordi e-postsystemer både er sentrale og høyt privilegerte i virksomheten.
Saken kommer i en periode der flere e-post- og samarbeidsplattformer har vært mål for aktiv utnyttelse. For sikkerhetsteam betyr det at patching alene ikke er nok; man bør samtidig:
- verifisere at alle Zimbra-noder faktisk kjører patchnivå med fix for CVE-2025-66376
- gjennomgå logger for mistenkelig HTML-epost og uvanlige webmail-sesjoner
- sjekke om e-postregler/filtere er endret uten godkjenning
- rotere relevante sesjoner/tokens dersom kompromittering mistenkes
- vurdere midlertidige kompenserende tiltak dersom full patching tar tid
At CVE-2025-66376 nå er i KEV, gjør prioriteringen enkel…
At CVE-2025-66376 nå er i KEV, gjør prioriteringen enkel: dette er en «nå»-oppgave, ikke en sak som kan vente til neste ordinære vedlikeholdsvindu. Organisasjoner som bruker Zimbra bør behandle den på nivå med andre aktivt utnyttede innganger mot identitet og meldingsinfrastruktur.