В конце июня 2025 года в реестре уязвимостей CVE была опубликована и классифицирована как активно эксплуатируемая новая угроза для корпоративных почтовых систем. Речь идёт об уязвимости, получившей идентификатор CVE-2025-48700, в популярной платформе для совместной работы Zimbra Collaboration Suite (ZCS). Данная проблема позволяет злоумышленнику выполнить межсайтовый сценарий (Cross-Site Scripting, XSS) в классическом веб-интерфейсе Zimbra, что может привести к несанкционированному доступу к конфиденциальной информации пользователя. Учитывая активное использование уязвимости в реальных атаках, её уровень риска оценён как высокий.
Уязвимость CVE-2025-48700
Zimbra Collaboration Suite - это широко распространённое решение для корпоративной электронной почты, календарей и совместной работы, которое используют компании среднего и крупного бизнеса, а также образовательные учреждения по всему миру. Обнаруженная уязвимость представляет особую опасность именно потому, что затрагивает ядро коммуникаций любой организации - электронную почту. Успешная эксплуатация позволяет атакующему внедрить и исполнить произвольный JavaScript-код в сессии авторизованного пользователя, просто заставив его открыть специально сформированное письмо в классическом интерфейсе Zimbra. При этом не требуется никаких дополнительных действий со стороны жертвы, таких как клик по ссылке или загрузка вложения, что делает атаку максимально скрытной и опасной.
Техническая суть проблемы кроется в недостаточной фильтрации HTML-контента. Как указано в описании CVE, уязвимость возникает из-за некорректной обработки специальным образом созданных структур HTML-тегов и их атрибутов, которые могут содержать директиву "@import" и другие векторы для внедрения сценариев. Когда пользователь открывает скомпрометированное письмо в устаревшей, но всё ещё поддерживаемой версии интерфейса Zimbra Classic UI, вредоносный код исполняется автоматически в контексте его сессии. Это открывает злоумышленникам широкий спектр возможностей: от кражи сессионных cookie-файлов, что эквивалентно краже учётных данных, до перехвата содержимого писем, перенаправления на фишинговые страницы или даже выполнения действий от имени пользователя внутри почтовой системы.
Основное воздействие уязвимости сводится к двум критическим последствиям: межсайтовому скриптингу (XSS) и раскрытию информации (Information Disclosure). В контексте корпоративной среды это означает прямой риск утечки коммерческой тайны, персональных данных сотрудников и клиентов, переписки по чувствительным проектам, а также логинов и паролей. Атакующий, получивший доступ к сессии администратора, теоретически может скомпрометировать всю почтовую инфраструктуру организации. Более того, учитывая, что уязвимость уже эксплуатируется в реальном мире, можно предположить, что группы киберпреступников или даже продвинутые угрозы (Advanced Persistent Threat, APT) активно используют её для целевых атак на конкретные компании.
Под угрозой находятся все версии Zimbra Collaboration Suite, для которых не установлены последние обновления безопасности. Производитель выпустил исправления в рамках следующих патчей и релизов: версия 8.8.15 с патчем 47, версия 9.0.0 с патчем 43, а также версии 10.0.12 и 10.1.4. Соответственно, уязвимыми считаются все системы, работающие на более ранних сборках, предшествующих указанным. Это означает, что значительное количество инсталляций по всему миру, где обновления откладываются или не входят в стандартную процедуру обслуживания, остаются открытыми для атаки. Между тем, эксплуатация не требует от злоумышленника предварительного доступа к системе или учётных данных, атака может быть инициирована удалённо путём отправки специально оформленного письма на любой ящик в домене организации.
Для специалистов по информационной безопасности данный инцидент служит очередным напоминанием о критической важности своевременного обновления программного обеспечения, особенно когда речь идёт о системах, обрабатывающих конфиденциальные данные. Меры по смягчению рисков в данном случае предельно чёткие и прямые: необходимо в срочном порядке установить соответствующие патчи, выпущенные вендором. Если немедленное обновление по каким-либо причинам невозможно, рекомендуется рассмотреть временное ограничение использования классического интерфейса Zimbra Classic UI, переведя пользователей на современный веб-клиент Zimbra, если он не затронут уязвимостью. Кроме того, в рамках общего подхода к безопасности стоит усилить мониторинг входящей почты на предмет подозрительных HTML-вложений и активировать правила в системах предотвращения вторжений (IPS), направленные на обнаружение известных векторов XSS-атак.
В свою очередь, для бизнеса последствия игнорирования этой угрозы могут быть весьма серьёзными. Помимо прямого ущерба от утечки данных, компании рискуют столкнуться с нарушением нормативных требований, таких как GDPR или 152-ФЗ, что влечёт за собой крупные штрафы и репутационные потери. Эксплуатация CVE-2025-48700 демонстрирует, как одна техническая уязвимость в фундаментальном сервисе может трансформироваться в операционный и финансовый риск для всей организации. Таким образом, оперативная реакция отделов ИТ и ИБ на подобные предупреждения является не просто технической необходимостью, а ключевым элементом корпоративного управления рисками в цифровую эпоху.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-48700
- https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
- https://www.cisa.gov/news-events/alerts/2026/04/20/cisa-adds-eight-known-exploited-vulnerabilities-catalog
