Zimbraは、Daffodil v10.1.19パッチアップデートをリリースし、同プラットフォームのClassic Web Clientに存在する格納型クロスサイトスクリプティング(XSS)脆弱性に対処しました。
Hacking& Cracking
このセキュリティ問題により、特別に細工されたメールメッセージによって、ログイン中の受信者のウェブメールセッションのコンテキストで悪意のあるJavaScriptが実行される可能性がありました。
2026年7月7日にリリースされた今回のアップデートには、更新版のzimbra-patchおよびzimbra-mbox-webclient-warパッケージを通じて提供される修正が含まれています。Zimbraはリリースノートにおいて、この脆弱性に関するCVE識別子やCVSS深刻度スコアを公表していません。
Zimbra、Stored XSS脆弱性に対するセキュリティパッチをリリース
格納型XSSの欠陥は、攻撃者がターゲットのメールボックスに届くメッセージに悪意のあるコンテンツを埋め込むことができるため、ウェブメール環境において特に重大です。
反射型XSS攻撃は通常、被害者が悪意のあるURLにアクセスする必要がありますが、それとは異なり、格納型XSSのペイロードは対象アプリケーション側に保持され、ユーザーが脆弱なインターフェース上で細工されたメールを開いたりプレビューしたりした際に実行される可能性があります。
今回のケースでは、悪用が成功すると、攻撃者は影響を受けたユーザーのClassic Web Clientセッションのセキュリティコンテキストの下でスクリプトを実行できるようになる可能性があります。
ブラウザの保護機能、アプリケーションの制御、セッション権限の内容によっては、こうした挙動によりメールボックスの内容が漏えいしたり、ウェブインターフェースを通じて不正な操作が実行されたり、ユーザーが悪意のあるプロンプトを操作するよう誘導されたりする可能性があります。
Zimbra Daffodil v10.1.19リリースに含まれるパッチ適用済みパッケージは以下の通りです。
zimbra-patchバージョン10.1.19.1783177840-2zimbra-mbox-webclient-warバージョン10.1.19.1783175257-1
Zimbraは、既存のSNMP緩和策に関するアップグレード手順についても案内しています。ZCS 10.1.x環境からアップグレードする顧客で、すでにSNMP緩和策を適用済みの場合は、追加の対応は不要です。
Zimbraが確認したところによると、この緩和策はシステムをバージョン10.1.19にアップグレードした後も引き続き有効です。一方、ZCS 10.0.x、9.0.x、または8.8.15から移行する組織は、ZCS 10.1.19へのアップグレード後に、更新のうえSNMP緩和策を再適用する必要があります。
Zimbraは、影響を受ける管理者に対し、アップグレード完了後にセキュリティアドバイザリに記載された改訂版の緩和手順に従うよう指示しています。導入支援や不明点がある顧客は、Zimbraにサポートチケットを起票できます。
セキュリティチームは、特にClassic Web Clientが有効化されユーザーがアクセス可能な環境において、Daffodil 10.1.19アップデートの適用を優先すべきです。また管理者は、クライアント側での悪用が試みられたことを示す可能性のある、異常なメールボックスの挙動、予期しないセッション活動、不審なリクエストがないか、ウェブメールのアクセスログを確認することも推奨されます。
翻訳元: https://gbhackers.com/zimbra-releases-security-patch-stored-xss/