CVE-2025-66376 : Zimbra Classic UI vulnerable au XSS stocke vi...

CVE-2025-66376 : XSS stocke dans Zimbra Collaboration Suite

La CISA a ajoute le 18 mars 2026 la vulnerabilite CVE-2025-66376 a son catalogue KEV (Known Exploited Vulnerabilities), confirmant son exploitation active dans la nature. Cette faille de severite haute affecte la Classic UI de Zimbra Collaboration Suite (ZCS) et permet l'execution de JavaScript arbitraire via des emails HTML malveillants.

Analyse technique du vecteur d'attaque

La vulnerabilite exploite un defaut de sanitisation des directives CSS @import dans le rendu des emails HTML par la Classic UI de Zimbra. Le processus de filtrage du contenu email ne neutralise pas correctement les directives @import imbriquees dans les feuilles de style CSS integrees aux messages.

Un attaquant peut crafter un email contenant des balises style avec des directives @import pointant vers des ressources externes. Lorsque la victime ouvre l'email dans l'interface Classic UI (et non Modern UI), le navigateur execute les imports CSS qui peuvent charger du contenu controleur par l'attaquant.

La classification comme XSS stocke signifie que le payload malveillant persiste sur le serveur Zimbra. Chaque consultation ulterieure de l'email re-declenche l'execution du code, ce qui amplifie considerablement l'impact par rapport a un XSS reflechi.

Impact et scenarios d'exploitation

L'execution de JavaScript arbitraire dans le contexte de session de la victime ouvre plusieurs vecteurs d'attaque :

• Vol de cookies de session et de tokens d'authentification ZCS
• Lecture, modification et suppression de courriels
• Creation de regles de transfert automatique pour exfiltrer les emails entrants vers des serveurs controlees par l'attaquant
• Envoi de courriels en usurpant l'identite de la victime (mouvement lateral via spear phishing interne)
• Acces aux contacts, calendriers et documents partages

La surface d'attaque est particulierement large. Zimbra revendique des centaines de millions d'utilisateurs, avec des deployements significatifs dans les secteurs gouvernemental, academique et entreprise. L'attaque ne requiert aucune authentification prealable : il suffit d'envoyer un email a la cible.

Correctifs disponibles

Synacor a publie les correctifs en novembre 2025 dans les versions Zimbra 10.1.13 et 10.0.18. La directive BOD 22-01 de la CISA impose aux agences FCEB (Federal Civilian Executive Branch) de remedier avant le 1er avril 2026.

Historique des vulnerabilites Zimbra

La plateforme Zimbra presente un historique charge en termes de failles critiques exploitees dans la nature :

• Juin 2022 : contournement d'authentification et RCE ayant compromis plus de 1 000 serveurs
• Septembre 2022 : zero-day permettant du RCE, exploite sur pres de 900 serveurs en deux mois
• 2023-2024 : campagnes du groupe russe Winter Vivern exploitant des XSS reflechis pour compromettre les portails webmail de gouvernements allies de l'OTAN
• 2025 : exploitation zero-day de CVE-2025-27915, un XSS permettant la mise en place de filtres email malveillants via des fichiers iCalendar

La recurrence de vulnerabilites XSS dans l'interface Classic UI suggere des lacunes structurelles dans le pipeline de sanitisation du contenu email de cette interface heritee.

Recommandations techniques

Pour les administrateurs Zimbra :

• Mise a jour immediate vers ZCS 10.1.13 ou 10.0.18 minimum
• Si la mise a jour n'est pas immediatement possible, envisager la desactivation de la Classic UI et la migration forcee vers Modern UI
• Audit des regles de transfert email pour detecter des redirections suspectes deja en place
• Verification des journaux d'acces pour identifier des patterns de session hijacking (connexions depuis des IP non habituelles avec des cookies valides)
• Deploiement de Content Security Policy (CSP) restrictives au niveau du reverse proxy frontal pour limiter les chargements CSS externes
• Surveillance des requetes sortantes depuis le serveur Zimbra vers des domaines non repertories

La CISA recommande a toutes les organisations, pas uniquement les agences federales, de traiter CVE-2025-66376 comme une priorite critique compte tenu de l'exploitation active confirmee.