Một lỗ hổng bảo mật mức độ cao vừa được xác định trong Zimbra Classic Web Client, cho phép kẻ tấn công chèn và thực thi mã JavaScript tùy ý thông qua hình thức Stored Cross-Site Scripting (XSS). Lỗ hổng này được gán mã CVE-2025-27915 và hiện đang được các chuyên gia an ninh mạng đánh giá là mối đe dọa nghiêm trọng, có thể bị lợi dụng để chiếm quyền kiểm soát tài khoản email, đánh cắp thông tin nhạy cảm cũng như phát tán mã độc trong hệ thống.
So với các dạng XSS phản xạ (reflected XSS) vốn chỉ kích hoạt khi người dùng tương tác với một liên kết độc hại, Stored XSS nguy hiểm hơn đáng kể do mã độc được lưu trực tiếp trên máy chủ. Điều này đồng nghĩa với việc mỗi lần người dùng truy cập vào nội dung đã bị nhiễm, đoạn mã JavaScript độc hại sẽ tự động được trình duyệt thực thi mà không cần bất kỳ thao tác bổ sung nào. Chính đặc điểm này khiến CVE-2025-27915 trở thành một lỗ hổng cần được xử lý khẩn cấp.
Theo kết quả phân tích kỹ thuật, nguyên nhân gốc rễ của vấn đề nằm ở cơ chế kiểm tra và làm sạch dữ liệu đầu vào trong giao diện Classic của Zimbra chưa đủ nghiêm ngặt. Kẻ tấn công có thể lợi dụng điểm yếu này để chèn các đoạn JavaScript độc hại vào những trường nhập liệu mà hệ thống không thực hiện mã hóa hoặc loại bỏ an toàn. Khi dữ liệu này được hiển thị cho người dùng khác, trình duyệt sẽ coi đó là nội dung hợp lệ và thực thi mã độc như một phần của ứng dụng.
Nếu bị khai thác thành công, lỗ hổng CVE-2025-27915 có thể gây ra nhiều hệ quả nghiêm trọng. Tin tặc có thể đánh cắp cookie phiên làm việc để chiếm quyền truy cập vào tài khoản email, giả mạo hành vi người dùng, theo dõi nội dung trao đổi hoặc thậm chí triển khai các chiến dịch phishing tinh vi ngay trong hệ thống email nội bộ của tổ chức nạn nhân.
Các phiên bản Zimbra Classic Web Client bị ảnh hưởng bao gồm những bản phát hành trước Zimbra 9.0.0 Patch 46, 10.0.15 và 10.1.9. Những phiên bản này chưa được trang bị đầy đủ các biện pháp phòng vệ hiện đại như mã hóa đầu ra (output encoding) hiệu quả hoặc chính sách bảo mật nội dung (Content Security Policy – CSP) đủ mạnh để ngăn chặn hành vi chèn và thực thi mã độc.
Trong bối cảnh Zimbra đang được triển khai rộng rãi tại nhiều tổ chức trên toàn thế giới, đặc biệt trong môi trường doanh nghiệp và các cơ quan nhà nước, lỗ hổng này tiềm ẩn nguy cơ bị khai thác trên diện rộng nếu không được khắc phục kịp thời.
Để ứng phó, Zimbra đã nhanh chóng phát hành các bản vá bảo mật cho ba dòng sản phẩm chính, bao gồm Zimbra 9.0.0 Patch 46, 10.0.15 và 10.1.9. Những bản cập nhật này không chỉ cải thiện quy trình kiểm soát dữ liệu đầu vào, mà còn bổ sung cơ chế phân tích HTML nâng cao, tăng cường lọc nội dung cả ở chiều nhập và xuất, đồng thời điều chỉnh cấu hình của máy chủ web Jetty – thành phần quan trọng trong kiến trúc giao diện người dùng của Zimbra.
Các quản trị viên hệ thống được khuyến cáo triển khai bản vá càng sớm càng tốt, đồng thời tiến hành rà soát toàn bộ các điểm nhập liệu trong ứng dụng, kiểm tra kỹ các đoạn mã tùy chỉnh và áp dụng chính sách kiểm soát nội dung chặt chẽ hơn nhằm giảm thiểu nguy cơ xảy ra các cuộc tấn công tương tự trong tương lai.
