【安全资讯】超1万台Zimbra服务器面临持续XSS攻击威胁

概要：

全球广泛使用的Zimbra协作套件（ZCS）被曝存在跨站脚本（XSS）漏洞（CVE-2025-48700），影响超过1万台在线暴露的服务器。该漏洞允许未经身份验证的攻击者在用户会话中执行任意JavaScript，窃取敏感信息。美国网络安全和基础设施安全局（CISA）已将其列入已知被利用漏洞目录，并责令联邦机构在三天内完成修补。

主要内容：

据Shadowserver基金会监测，全球仍有超过10,500台Zimbra服务器未安装补丁，其中亚洲（3,794台）和欧洲（3,793台）受影响最为严重。该漏洞影响ZCS 8.8.15、9.0、10.0及10.1版本，攻击者无需用户交互，仅需受害者通过Zimbra Classic UI查看恶意构造的邮件即可触发。Synacor已于2025年6月发布安全补丁，但大量用户仍未更新。

CISA在4月21日将CVE-2025-48700列入已知被利用漏洞目录，并依据活跃利用证据要求联邦民事行政部门（FCEB）机构在4月23日前完成修复。尽管CISA未披露具体攻击细节，但另一类似XSS漏洞（CVE-2025-66376）已被俄罗斯国家背景的APT28组织（又称Fancy Bear）用于针对乌克兰政府机构的钓鱼攻击。该组织通过发送包含混淆JavaScript载荷的恶意邮件，在收件人打开邮件时触发漏洞，无需附件或链接即可完成攻击链。

Zimbra漏洞近年来频繁被利用。2023年2月，俄罗斯Winter Vivern黑客组织利用反射型XSS漏洞入侵北约相关机构及人员的Zimbra邮件门户，窃取军事、外交等敏感通信。2024年10月，美英网络安全机构联合警告称，俄罗斯对外情报局（SVR）关联的APT29组织（又称Cozy Bear）正大规模利用Zimbra漏洞窃取邮件账户凭证。此次CVE-2025-48700漏洞的持续利用，进一步凸显了Zimbra服务器作为高价值目标面临的严峻安全风险。