Zimbraは、コラボレーションスイート(ZCS)のバージョン10.1.19(コードネーム「Daffodil」)をリリースし、クラシックWebクライアントに存在する格納型クロスサイトスクリプティング(XSS)脆弱性に対処しました。
2026年7月7日に公開されたこのパッチは、特別に細工されたメールを送信するだけで、攻撃者が被害者のアクティブなセッション内で悪意あるスクリプトを実行できてしまう欠陥を修正するものです。
この格納型XSS脆弱性は、クラシックWebクライアントがメールコンテンツをレンダリングする際の処理に起因しています。細工したメールに悪意あるスクリプトを埋め込むことで、攻撃者は被害者がメッセージを開いたり閲覧したりした瞬間にコードを実行させることができ、それ以上のユーザー操作を必要としません。
このペイロードは「格納」されるため、メールボックス内に残り続け、メールがアクセスされるたびに繰り返し実行される可能性があり、攻撃が成立する期間を広げてしまいます。
Webメールクライアントに存在する格納型XSSの欠陥は、すでに認証済みのセッション内で動作するという性質上、特に危険性が高いといえます。
この修正は、以下のコンポーネントの更新を通じて提供されます。
Zimbraのアドバイザリでは、組織がどのバージョンからアップグレードするかに応じた具体的な手順が示されています。既にZCS 10.1.xを稼働している顧客については、既存のSNMP緩和策がアップグレード後も引き続き有効であるため、追加の対応は不要です。
一方、ZCS 10.0.x、9.0.x、または8.8.15から移行する顧客は、10.1.19へのアップグレード完了後に更新を行い、SNMP緩和策を再適用する必要があります。
管理者は、2026年7月7日のパッチを展開する際、Zimbraの公式インストールガイドに従うことができます。また、Zimbraはソースからのレビューやビルドを希望するユーザー向けに、zm-buildのGitHubプロジェクトでオープンソースリポジトリも維持しています。
Webメールプラットフォームは、取り扱う機密データやセッション権限の重要性から、依然として攻撃者にとって価値の高い標的であり続けています。特に格納型XSS脆弱性は、フィッシングの追撃キャンペーンや認証情報の窃取、企業ネットワーク内での横展開に悪用される恐れがあります。
Zimbraが企業や政府機関で広く利用されている実情を踏まえ、セキュリティチームはこのパッチの適用とSNMP緩和策の状況確認を、遅滞なく最優先で行うべきです。
翻訳元: https://cyberpress.org/zimbra-10-1-19-fixes-stored-xss-flaw/