L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a émis une alerte critique concernant une vulnérabilité de type cross-site scripting (XSS) de jour zéro dans la suite Zimbra Collaboration Suite (ZCS), identifiée sous le code CVE-2025-27915. Cette faille, activement exploitée lors d’attaques récentes, présente des risques significatifs pour les organisations utilisant cette plateforme de messagerie et de collaboration largement adoptée. La vulnérabilité se trouve dans le composant Classic Web Client de ZCS, en raison d’une insuffisante désinfection du contenu HTML dans les fichiers du système de calendrier Internet (ICS). Classée sous CWE-79, cette faille permet l’exécution automatique de JavaScript intégré lorsque les utilisateurs consultent des entrées ICS malveillantes, exploitant le gestionnaire d’événements ontoggle dans une balise
Existe-t-il une exploitation active d’une vulnérabilité zero-day XSS dans Zimbra Collaboration Suite ?
. Cette méthode permet aux attaquants de faire fonctionner du code JavaScript arbitraire dans la session authentifiée de la victime, contournant les contrôles de sécurité standard en utilisant la fonctionnalité légitime du calendrier pour délivrer des charges utiles nuisibles. La faible interaction requise de la part de l’utilisateur—simplement consulter un email conçu à cet effet—rend cette vulnérabilité particulièrement dangereuse pour des attaques à grande échelle. Les versions affectées incluent ZCS 10.1.9, 10.0.15 et 9.0.0 Patch 46. L’exploitation de cette vulnérabilité peut conduire à des actions non autorisées au sein des comptes compromis, telles que la création de filtres de messagerie malveillants pour rediriger des messages, facilitant l’exfiltration de données et la surveillance continue. La CISA a fixé au 28 octobre 2025 la date limite de remédiation pour les agences fédérales, exhortant les administrateurs Zimbra à agir immédiatement. Les organisations sont conseillées d’appliquer les mesures d’atténuation du fournisseur, de suivre les directives des services cloud, ou de cesser l’utilisation si aucune solution efficace n’est disponible. Des mesures de sécurité renforcées pour les emails et une formation des utilisateurs sur les invitations de calendrier suspectes et les pièces jointes ICS sont également recommandées.
