Uma vulnerabilidade crítica no Zimbra Collaboration pode permitir que e-mails especialmente preparados executem códigos maliciosos quando abertos no cliente web clássico da plataforma. A falha afeta o Classic Web Client e está relacionada à forma como o sistema processa determinados conteúdos incorporados às mensagens. Até o momento, o problema ainda não recebeu um identificador CVE público.
Na prática, o invasor pode enviar um e-mail criado para incluir instruções maliciosas. Quando a vítima abre a mensagem, o conteúdo é executado dentro da sessão já autenticada no Zimbra. O ataque pode dar acesso a informações da caixa de entrada, dados da sessão e configurações da conta.
Dependendo dos privilégios do usuário afetado, o criminoso também pode tentar ler mensagens ou alterar preferências sem autorização. O risco aumenta porque a vítima não precisa baixar anexos nem instalar programas. A simples abertura do e-mail no cliente vulnerável pode ser suficiente para acionar o conteúdo preparado pelo atacante.
A correção está disponível no Zimbra Collaboration Suite 10.1.19. Administradores devem aplicar a atualização o quanto antes, principalmente em servidores acessíveis pela internet ou usados por organizações que lidam com informações sensíveis.



