CISA har lagt Synacor Zimbra Collaboration Suite-sårbarheten CVE-2025-66376 til katalogen over kjente aktivt utnyttede sårbarheter (KEV). Feilen gjelder en lagret XSS-svakhet i Classic UI, der angripere kan misbruke CSS @import i HTML-epost.
Når en sårbarhet går inn i KEV-listen, betyr det at amerikanske myndigheter vurderer den som reelt utnyttet i angrep. For organisasjoner som kjører Zimbra, flytter dette saken fra «bør patches» til «må patches nå».
CISA oppgir frist 1
CISA oppgir frist 1. april 2026 for føderale virksomheter. Slike frister blir ofte en praktisk referanse også for private virksomheter som bruker KEV som prioriteringssignal i sårbarhetsstyring.
Zimbra oppgir at CVE-2025-66376 er patchet i 10.1.13 og 10.0.18. Det viktigste tiltaket nå er å verifisere faktisk versjon i produksjon og sikre at Classic UI-installasjoner er oppdatert.