# CVE-2022-27926 > [!medium] XSS Refletido no Zimbra - Componente de Cadeia de Ataque > Cross-Site Scripting refletido no Zimbra Collaboration Suite. Embora moderado individualmente (CVSS 6.1), esta CVE é componente crítico da cadeia de ataque com CVE-2022-27925, permitindo roubo de token admin para posterior RCE sem autenticação. ## Visão Geral A [[cve-2022-27926|CVE-2022-27926]] é uma vulnerabilidade de **Cross-Site Scripting (XSS) Refletido** no [[zimbra-collaboration-suite|Zimbra Collaboration Suite]], corrigida em abril de 2022. Com CVSS individual de 6.1 (moderado), esta vulnerabilidade adquire criticidade muito maior quando encadeada com [[cve-2022-27925|CVE-2022-27925]]. A cadeia de ataque funciona da seguinte forma: a CVE-2022-27926 permite que um atacante injete JavaScript malicioso via URL especialmente criada que, quando acessada por um administrador do Zimbra, executa código no contexto do navegador do admin e rouba o token de sessão. Com esse token em mãos, o atacante pode então explorar a CVE-2022-27925 para fazer upload de um web shell como administrador. Esta cadeia foi classificada como zero-click efetivo em ambientes onde a URL maliciosa pode ser entregue via email ou link - o que é trivial dado que estamos falando de um servidor de email. A CISA emitiu alertas específicos sobre a exploração ativa desta combinação por atores APT. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | XSS Refletido | | Componente | Zimbra Webmail - endpoint de redirecionamento | | Vetor | Rede (requer interação do usuário) | | Cadeia com CVE-2022-27925 | Auth bypass + RCE | | Exploração ativa | Confirmada (em combinação) | ### Cadeia Completa de Ataque ``` 1. Atacante envia email com link malicioso para admin Zimbra 2. Admin clica no link → CVE-2022-27926 executa JS no navegador do admin 3. JS rouba token de sessão admin → enviado para C2 do atacante 4. Atacante usa token para CVE-2022-27925 → upload web shell como admin 5. RCE completo no servidor Zimbra ``` ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1566-002-spearphishing-link\|T1566.002]] | Link XSS enviado por email para admin | | [[t1185-browser-session-hijacking\|T1185]] | Roubo de token de sessão admin via XSS | | [[t1505-003-web-shell\|T1505.003]] | Web shell implantado com token roubado | | [[t1114-002-remote-email-collection\|T1114.002]] | Coleta de emails pós-acesso admin | ## Detecção e Defesa **Mitigações:** - Atualizar Zimbra para 8.8.15p30 ou 9.0.0p23+ - [[m1051-update-software\|M1051]] - Patch prioritário que resolve ambas CVEs da cadeia - Implementar Content Security Policy (CSP) no Zimbra - [[m1017-user-training\|M1017]] - Conscientizar administradores sobre links suspeitos mesmo de emails internos > [!latam] Relevância para Brasil e LATAM > O Zimbra é a plataforma de email de milhares de organizações governamentais e educacionais brasileiras. Um único administrador que clique em um link malicioso pode resultar no comprometimento completo do servidor de email corporativo via esta cadeia. Organizações com Zimbra desatualizado e sem treinamento de segurança para administradores são alvos de alta probabilidade. ## Referências - [Zimbra Security Advisory ZSB-22-014](https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories) - [NVD - CVE-2022-27926](https://nvd.nist.gov/vuln/detail/CVE-2022-27926) - [CISA Alert - Zimbra Vulnerabilities](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-228a)