# CVE-2025-66376 - Zimbra ZCS XSS via CSS @import > [!high] CVSS 6.1 - CISA KEV - XSS em Webmail Corporativo com Histórico APT > XSS refletido no Zimbra Collaboration Suite Classic UI via diretiva CSS @import em e-mails HTML. Explorado ativamente por atores de espionagem estatal com histórico em vulnerabilidades Zimbra. Prazo CISA: 2026-04-01. ## Visão Geral **CVE-2025-66376** é a mais recente de uma série de vulnerabilidades XSS no **Zimbra Collaboration Suite (ZCS)**, desta vez explorando a diretiva CSS `@import` em e-mails HTML para execução de JavaScript no contexto do webmail do usuário. A falha afeta exclusivamente a interface Classic UI do Zimbra e foi adicionada ao catálogo CISA KEV em 2026-03-18, com prazo de remediação até 2026-04-01 para agências federais norte-americanas. O Zimbra é uma plataforma de e-mail corporativo open-source com forte adoção em setores governamentais, educacionais e empresas de médio porte que buscam alternativas ao Microsoft Exchange. Esta não é a primeira vez que o Zimbra é alvo de atores de espionagem: a [[cve-2023-37580|CVE-2023-37580]] foi explorada por quatro grupos APT distintos (incluindo [[g0007-apt28|APT28]] e UNC4841) em 2023, e vulnerabilidades Zimbra figuram recorrentemente em catálogos KEV. O histórico estabelece uma tendência preocupante de atores estatais e criminosos priorizando o Zimbra como vetor de acesso a comúnicações corporativas e governamentais. O impacto potencial da exploração inclui roubo de sessão, exfiltração de e-mails confidenciais, phishing interno e escalada para comprometimento de contas de alto valor. Para organizações que utilizam Zimbra como plataforma de e-mail principal, esta vulnerabilidade é prioritária independentemente do CVSS 6.1, dado o contexto de exploração ativa confirmada. **CVE-2025-66376** é uma vulnerabilidade de Cross-Site Scripting (XSS) no **Zimbra Collaboration Suite (ZCS)** Classic UI, explorada via diretiva CSS `@import` em e-mails HTML. A falha permite que um atacante execute JavaScript malicioso no contexto do navegador da vítima ao simplesmente abrir ou visualizar um e-mail especialmente construído. O Zimbra é um servidor de e-mail corporativo open-source amplamente utilizado como alternativa ao Microsoft Exchange em organizações que buscam soluções auto-hospedadas. Vulnerabilidades XSS no Zimbra têm histórico de exploração por atores de espionagem estatal, incluindo grupos APT. **Pontuação de risco:** - CVSS v3.1: **6.1** (Médio) - EPSS: **~55%** de probabilidade de exploração nos próximos 30 dias - CISA KEV: adicionado em **2026-03-18** - prazo de remediação: **2026-04-01** - Exploit público: XSS via CSS @import em e-mails HTML - confirmado ## Impacto Técnico Um atacante que explore esta vulnerabilidade com sucesso pode: - **XSS:** executar JavaScript arbitrário no contexto da sessão do usuário Zimbra - **Roubo de sessão:** capturar cookies de sessão para sequestro de conta de e-mail - **Phishing interno:** injetar conteúdo falso na interface do webmail - **Pivot:** usar sessão comprometida para acessar e-mails confidenciais e contatos **Impacto para organizações LATAM/Brasil:** Zimbra é popular em universidades, órgãos governamentais estaduais e municipais e empresas de médio porte no Brasil que preferem soluções de e-mail auto-hospedadas. XSS em webmail é frequentemente usado por atores de espionagem para comprometer contas de e-mail de alto valor. Grupos APT historicamente exploram vulnerabilidades Zimbra para espionagem. Setores [[government]] e [[education|educação]] são os mais expostos. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Synacor | Zimbra Collaboration Suite | Classic UI - versões antes do patch | versão pós 2026-03-18 | **Não afetado:** Zimbra com Modern UI (se não usa Classic UI); instâncias com patch aplicado. ## Patch e Mitigação **Patch oficial:** - Advisory: Zimbra Security Advisory - CVE-2025-66376 - Data de lançamento do patch: **2026-03-18** **Como aplicar:** 1. Verificar versão atual do Zimbra: `zmcontrol -v` 2. Aplicar patch via repositório Zimbra ou download manual 3. Reiniciar serviços Zimbra: `zmcontrol restart` 4. Verificar integridade após atualização **Mitigações temporárias:** - Desabilitar o Classic UI e migrar usuários para Modern UI - Implementar filtragem de CSS em e-mails recebidos via postfix - Configurar CSP (Content Security Policy) rigorosa no servidor Zimbra - Monitorar sessões ativas por comportamento anômalo ## Exploração Ativa **Status atual:** ⚠️ **CISA KEV - EXPLORAÇÃO ATIVA CONFIRMADA** **Evidências de uso em ataques:** - CISA KEV: adicionado em 2026-03-18, confirmando exploração ativa na natureza - Histórico: vulnerabilidades XSS em Zimbra têm sido exploradas por APTs (incluindo APT28 e grupos irannianos) em campanhas anteriores ## CISA KEV Esta vulnerabilidade foi adicionada ao **CISA Known Exploited Vulnerabilities (KEV) Catalog** em **2026-03-18**. - **Prazo de remediação para agências federais EUA:** 2026-04-01 - **Recomendação para o setor privado:** aplicar patch imediatamente - XSS em webmail é vetor crítico de comprometimento de contas - **Referência:** [CISA KEV - CVE-2025-66376](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Notas Relacionadas **CVEs relacionados:** [[cve-2025-47813|CVE-2025-47813]] · [[cve-2026-20963|CVE-2026-20963]] · [[cve-2026-20131|CVE-2026-20131]] **TTPs relacionadas:** [[t1189-drive-by-compromise|T1189]] · [[t1185-browser-session-hijacking|T1185]] · [[t1539-steal-web-session-cookie|T1539]] **Setores em risco:** [[government]] · [[education|educação]] · [[technology]] > [!latam] Relevância para Brasil e LATAM > O Zimbra é utilizado por universidades federais e estaduais brasileiras, órgãos governamentais municipais e estaduais, e empresas de médio porte em toda a América Latina como alternativa open-source ao Microsoft Exchange. No Brasil, diversas prefeituras, secretarias estaduais e institutos federais de educação utilizam Zimbra como plataforma primária de e-mail institucional. XSS em webmail é vetor comprovado de comprometimento de contas de alto valor - incluindo e-mails de secretários, diretores e assessores governamentais. A recorrência de CVEs Zimbra em catálogos KEV (ver **CVE-2023-37580**, **CVE-2022-27925**, **CVE-2022-41352**) indica que este software é alvo prioritário de grupos de espionagem com interesse em comúnicações governamentais latino-americanas. Administradores devem verificar versão com `zmcontrol -v` e aplicar patch imediatamente. ## Referências - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - 2026-03-18 - [NVD - CVE-2025-66376](https://nvd.nist.gov/vuln/detail/CVE-2025-66376) - [[cve-2023-37580|CVE-2023-37580 - Zimbra XSS 2023 (4 grupos APT)]]