Разработчики Zimbra выпустили срочное обновление для версии Daffodil 10.1.16, закрывающее сразу пять уязвимостей. Проблемы затронули как веб-интерфейс почты, так и внутренние сервисы платформы. В результате атакующий получал возможность похищать данные, подделывать запросы и даже читать файлы с сервера.
Детали уязвимостей
Это событие заслуживает внимания по одной простой причине. Zimbra - одна из самых популярных корпоративных почтовых платформ в мире. Её используют тысячи компаний и государственных организаций. Уязвимости в таком продукте означают риск масштабных утечек и компрометации внутренней переписки. К счастью, на момент публикации информации об активных атаках не сообщается, однако промедление с установкой обновления может дорого обойтись.
Первая уязвимость, зарегистрированная под идентификатором CVE-2026-33368, представляет собой отражённую межсайтовую подделку запроса, или XSS (тип атаки, при которой злоумышленник внедряет вредоносный код в веб-страницу). Проблема скрывалась в REST-интерфейсе классической веб-почты, а именно в конечной точке /h/rest. Приложение не фильтровало пользовательский ввод. Это означало, что любой неавторизованный атакующий мог подсунуть жертве специально сформированную ссылку. При переходе по ней вредоносный JavaScript выполнялся в контексте почтового клиента. Тем самым злоумышленник получал возможность действовать от имени жертвы: читать письма, отправлять сообщения, менять настройки.
Вторая уязвимость (CVE-2026-33369) связана с инъекцией в протокол LDAP (протокол для доступа к каталогам пользователей и ресурсов). Ошибка обнаружилась в SOAP-сервисе почтового ящика при операции FolderAction. Приложение подставляло данные от пользователя напрямую в LDAP-запрос без предварительной очистки. Атакующему требовалась аутентификация в системе, но этого было достаточно, чтобы исказить LDAP-фильтр и получить доступ к конфиденциальным атрибутам каталога. Иными словами, сотрудник компании мог выведать учётные данные или служебную информацию о других пользователях.
Третья проблема (CVE-2026-33370) затрагивает функцию "Портфель" (Briefcase), предназначенную для хранения и обмена файлами. Это уже сохранённая XSS-уязвимость: вредоносный код не передавался по ссылке, а загружался вместе с файлом. Разработчики недостаточно проверяли определённые типы загружаемых документов. Когда другой пользователь открывал публично доступный файл из "Портфеля", скрипт выполнялся в его сессии. Таким образом атакующий мог похитить данные или совершить несанкционированные действия.
Четвёртая уязвимость (CVE-2026-33371) относится к категории XXE (внешние XML-сущности). Ошибка возникла в интерфейсе Exchange Web Services, работающем через SOAP. XML-парсер сервера по умолчанию разрешал обработку внешних сущностей. Аутентифицированный пользователь отправлял специально сформированный XML-запрос, и сервер начинал читать локальные файлы. В худшем случае злоумышленник мог получить доступ к конфигурационным файлам, ключам шифрования или базам данных.
Пятая уязвимость (CVE-2026-33372) касается межсайтовой подделки запросов, или CSRF (атака, при которой жертва по незнанию выполняет действие от имени злоумышленника). Проблема крылась в механизме проверки токенов. Приложение принимало CSRF-токены не только из заголовков, но и из тела запроса. Это серьёзное ослабление защиты. Атакующему достаточно было обманом заставить авторизованного пользователя кликнуть по ссылке или отправить форму. В результате выполнялись нежелательные операции: смена пароля, перенаправление почты, создание правил фильтрации.
Если злоумышленник объединит эти уязвимости в одну цепочку атак, потери могут быть колоссальными. Компрометация LDAP-каталога означает утечку всей структуры организации. XXE-атака позволяет заполучить серверные конфигурации. XSS и CSRF в веб-почте открывают доступ к переписке и внутренним документам. В итоге компания рискует не только репутацией, но и финансовыми санкциями со стороны регуляторов из-за утечки персональных данных.
Что делать администраторам? Ответ очевиден: немедленно обновить Zimbra Daffodil до версии 10.1.16. Патч уже доступен на официальном сайте разработчика по адресу wiki.zimbra.com/wiki/Zimbra_Releases/10.1.16#Security_Fixes. Процедура обновления стандартная, но перед установкой стоит сделать резервную копию системы и провести тестирование в изолированной среде. После обновления рекомендуется проверить журналы на предмет подозрительной активности, особенно в SOAP-запросах и операциях с файлами.
Резюмируя: масштабное обновление Zimbra закрывает пять уязвимостей разной степени опасности, от XSS до XXE. Компаниям, использующим эту платформу, стоит действовать незамедлительно. Вопрос не в том, будет ли атака - вопрос лишь в том, успеете ли вы закрыть дыры до того, как ими воспользуются.
Ссылки
- https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.16#Security_Fixes
- https://www.cve.org/CVERecord?id=CVE-2026-33372
- https://www.cve.org/CVERecord?id=CVE-2026-33371
- https://www.cve.org/CVERecord?id=CVE-2026-33370
- https://www.cve.org/CVERecord?id=CVE-2026-33369
- https://www.cve.org/CVERecord?id=CVE-2026-33368
