Uma falha de cross-site scripting (XSS) no Zimbra está expondo e-mails e sessões autenticadas de usuários, em um caso que ganhou urgência após a inclusão da vulnerabilidade CVE-2025-66376 no catálogo de falhas exploradas da CISA. O problema afeta a Classic UI do Zimbra Collaboration Suite e já está sendo usado em ataques reais.
A brecha foi classificada com CVSS 7,2 e está ligada ao tratamento inadequado de conteúdo HTML em mensagens. Segundo a Zimbra, o vetor permite abusar de diretivas CSS @import dentro do corpo do e-mail, fazendo com que código malicioso seja executado quando a mensagem é aberta na interface vulnerável.
Na prática, isso pode levar ao roubo de cookies de sessão, captura de credenciais e execução de ações em nome da vítima dentro do webmail. Como o ataque acontece já no contexto de uma sessão autenticada, o invasor pode acessar conteúdos da caixa postal e ampliar o alcance do comprometimento.
A exploração ativa elevou a gravidade do caso. A CISA determinou que agências federais civis dos Estados Unidos apliquem as correções ou descontinuem o uso do produto afetado até 1º de abril de 2026, sinalizando que o risco deixou de ser apenas teórico.
A Zimbra informou que a CVE-2025-66376 foi corrigida nas versões 10.1.13 e 10.0.18. A orientação imediata para administradores é verificar se a Classic UI continua habilitada e acelerar a atualização dos ambientes expostos.
O alerta é ainda mais relevante porque a linha 10.0 entrou em fim de vida em 31 de dezembro de 2025. Isso significa que organizações que ainda dependem dessa versão precisam não só aplicar o patch disponível, mas também planejar a migração para versões suportadas.
