یک آسیبپذیری امنیتی که اکنون در Zimbra Collaboration Suite (ZCS) وصله شده است، اوایل امسال به عنوان آسیبپذیری روز صفر در حملات سایبری مورد سوءاستفاده قرار گرفت.
محققانی که پیوستهای ICS calendar. با حجم غیرمعمول و حاوی جاوا اسکریپت را رصد میکردند، دریافتند که در ابتدای سال از یک آسیبپذیری در ZCS به طور فعال در حملات روز صفر استفاده شده است. فایلهای ICS که با نام فایلهای iCalendar نیز شناخته میشوند، برای ذخیره اطلاعات تقویم و برنامهریزی (سشنها، رویدادها و وظایف) به صورت متن ساده و تبادل آن بین برنامههای مختلف تقویم استفاده میشوند. عوامل تهدید از آسیبپذیری cross-site scripting (XSS) در Classic Web Client با شناسه CVE-2025-27915 (امتیاز: 5.4) در ZCS 9.0، 10.0 و 10.1، جهت ارسال پیلود داده جاوا اسکریپت به سیستمهای هدف و سرقت دادههای حساس از حسابهای ایمیل قربانیان سوءاستفاده کردند.
آسیبپذیری مذکور ناشی از عدم پاکسازی کافی محتوای HTML در فایلهای ICS است که این امر به مهاجمان اجازه داد تا جاوا اسکریپت مخرب را در یک پیوست ICS. جاسازی کنند که از طریق یک رویداد ontggle در داخل برچسب <details> اجرا میشود. در واقع هنگام باز کردن یک ایمیل حاوی ورودی تقویم مخرب، اسکریپت در سشن فعال کاربر اجرا شود. Zimbra در ۲۷ ژانویه با انتشار نسخههای ZCS 9.0.0 P44، 10.0.13 و 10.1.5 نقص امنیتی مذکور را برطرف کرد. شواهد نشان میدهد که این بهرهبرداری قبل از در دسترس قرار گرفتن وصله مورد سوٰاستفاده قرار گرفته است. اگرچه آسیبپذیری XSS اغلب نسبت به نقصهای اجرای کد از راه دور (RCE) کماهمیتتر تلقی میشود، اما بسیار مؤثر واقع شد و بدون اطلاع کاربر امکان اجرای کد دلخواه را برای انجام اقدامات غیر مجاز از جمله استخراج دادهها و ربودن سشن برای مهاجمان فراهم کرد.
https://www.bleepingcomputer.com/news/security/hackers-exploited-zimbra-flaw-as-zero-day-using-icalendar-files/
https://thehackernews.com/2025/10/zimbra-zero-day-exploited-to-target.html
