Zimbra CVE-2025-48700: XSS nella Classic UI sfruttato in the wild, oltre 10.000 server ancora vulnerabili

La CVE-2025-48700 (CVSS 7.2) è una vulnerabilità di tipo Cross-Site Scripting nella Classic UI di Zimbra Collaboration Suite (ZCS), causata da una sanitizzazione insufficiente del contenuto HTML delle e-mail in visualizzazione. La falla sfrutta specifiche strutture di tag e valori di attributo — in particolare direttive @import e altri vettori di script injection — che eludono i controlli di sicurezza dell'interfaccia web, consentendo l'esecuzione di codice JavaScript malevolo nel contesto della sessione autenticata dell'utente vittima. Il vettore di attacco è particolarmente insidioso: non è richiesta alcuna interazione dell'utente oltre alla semplice apertura dell'e-mail nella webmail Zimbra Classic UI.

La patch è disponibile da giugno 2025, quando Synacor aveva già avvertito della criticità del vettore. Nonostante ciò, BleepingComputer rileva oltre 10.000 server Zimbra ancora esposti e vulnerabili al momento della segnalazione dello sfruttamento attivo. La CISA ha aggiunto CVE-2025-48700 al catalogo Known Exploited Vulnerabilities il 20 aprile 2026, confermando l'esistenza di exploitation in the wild. Un attaccante che sfrutti con successo la vulnerabilità ottiene accesso non autorizzato alle informazioni sensibili contenute nella sessione dell'utente, con potenziale impatto su credenziali, token di sessione e dati di posta elettronica.

Versioni affette: ZCS 10.1.x < 10.1.4; ZCS 10.0.x < 10.0.12; ZCS 9.x < 9.0.0 Patch 43; ZCS 8.8.x < 8.8.15 Patch 47.
Azione raccomandata: aggiornare immediatamente alle versioni corrette; verificare nei log applicativi la presenza di richieste anomale alle API di sessione Zimbra nel periodo precedente all'aggiornamento

Fonti: ACN, Bleeping Computer, NIST NVD