Zimbra dicht kritiek XSS-lek in Classic Web Client na melding van Google

Zimbra roept klanten op direct te updaten naar versie 10.1.19. Een kritiek XSS-lek in de Classic Web Client wordt uitgevoerd zodra een geprepareerde e-mail wordt geopend.

Zimbra dringt er bij klanten op aan om met spoed te updaten naar versie 10.1.19. Die release, uitgebracht op 10 juli, verhelpt een kritieke stored cross-site-scripting-kwetsbaarheid in de Classic Web Client van de Zimbra Collaboration-suite.

Het lek zit in de verwerking van binnenkomende e-mails. Een aanvaller kan een speciaal geprepareerd bericht sturen waarvan de kwaadaardige code wordt uitgevoerd op het moment dat de ontvanger de mail opent. Meer interactie is niet nodig. Via die weg zijn sessiegegevens, accountinstellingen en mailboxinhoud te stelen.

Een CVE-nummer is nog niet toegekend en Zimbra heeft het lek vooralsnog niet als actief misbruikt bestempeld. Toch is er reden tot haast: de melding kwam van Googles Threat Analysis Group, het team dat doorgaans zerodays opspoort die door statelijke actoren worden ingezet. Zimbra-lekken zijn de afgelopen jaren herhaaldelijk misbruikt door Russische spionagegroepen, gericht op onder meer overheidsfunctionarissen en NAVO-gelieerde organisaties.

Het probleem raakt alleen gebruikers van de Classic Web Client, de oudere Ajax-webmailinterface. Wie de moderne interface gebruikt, is niet kwetsbaar — maar in de praktijk staat de klassieke client bij veel organisaties nog aan.

Nederlandse organisaties die Zimbra zelf hosten doen er goed aan vandaag nog te patchen, zeker instellingen in de (semi-)publieke sector. Ga daarnaast na of de Classic Web Client überhaupt nog nodig is; uitschakelen verkleint het aanvalsoppervlak blijvend.

Bron: BleepingComputer

📬

Wekelijkse security-update in je inbox

Elke week de belangrijkste dreigingen, kwetsbaarheden en tips — gratis, geen spam.

Bij 2.400+ security-professionals. Afmelden kan altijd.