米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は、Zimbra Collaboration Suite(ZCS)に影響を与える重大な脆弱性を既知悪用脆弱性(KEV)カタログに追加し、実際の悪用が確認されたことを示唆しています。
プラットフォームを利用する連邦機関と組織は、2026年4月1日という厳格な是正期限が与えられており、積極的に悪用されているシステムへのパッチ適用の緊急性を強調しています。
CVE-2025-66376として追跡されているこの脆弱性は、Zimbra Classic Webクライアントに影響を与える高深刻度の保存型クロスサイトスクリプティング(XSS)欠陥です。
この問題は、電子メールメッセージに埋め込まれた悪意のあるコンテンツの不適切なサニタイズに起因し、攻撃者が電子メールを開いたときに実行される有害なスクリプトを注入することを可能にします。
ユーザーが特別に細工された電子メールを表示すると、注入されたスクリプトは被害者の認証されたセッションのコンテキスト内で実行されます。
この動作により、攻撃者は機密メールボックスデータにアクセスし、アクティブなセッションをハイジャックし、コラボレーション環境に深く浸透する可能性があります。
特定のランサムウェアキャンペーンへの確認された帰属はありませんが、CISAによるKEVカタログへの欠陥の追加は、積極的で継続的な悪用を確認しています。
Zimbra の背後にあるベンダーである Synacor は、脆弱性に対応するパッチをリリースしました。修正には、AntiSamy HTML サニタイゼーション ライブラリをバージョン 1.7.8 にアップグレードし、不十分なフィルタリングの原因となるレガシー コードを削除することが含まれます。
組織は、以下のセキュアなバージョンのいずれかに直ちにアップグレードすることを強く推奨されています:
CISA は、これらの更新を迅速に適用できない組織は、適切な軽減策が導入されるまで製品の使用を中止することを検討するよう推奨しています。
Synacor は展開リスクを「中程度」に分類していますが、管理者は本番環境へのロールアウト前に標準的なステージングおよび検証手順に従うことが奨励されています。
CVE-2025-66376 に対処することを超えて、最新の Zimbra 更新はプラットフォームを現代化し、運用弾力性を向上させることを目的とした複数のセキュリティとユーザビリティの改善を導入しています。
主な改善には、改善されたトランスポート層セキュリティ(TLS)の処理が現在の RFC 標準に適合し、展開全体でセキュアな通信を強化することが含まれます。
この更新はまた、洗練された Amazon S3 データ管理機能を導入し、メールボックスの移行とクリーンアップ プロセスを合理化します。
ユーザーエクスペリエンスの側面では、Zimbra は現在、アップグレードされた Ignite スマート検索機能を備えており、リアルタイム提案と LDAP 統合外部電子メール警告を提供しています。
復旧機能も改善されており、ユーザーは削除された電子メール、連絡先、およびファイルをゴミ箱フォルダから直接より大きな柔軟性で復元できます。
さらに、Zimbra Connector for Outlook(ZCO)は Outlook 2024 との完全な互換性をサポートし、エンタープライズ環境での相互運用性の継続を保証します。
Synacor は、レガシー Outlook クライアントの Exchange Web Services(EWS)サポートが 2026 年 10 月まで利用可能のままであることを確認しています。
管理者は、Zimbra バージョン 10.0 が 2025 年 12 月 31 日に正式にサポート終了(EOL)に達したことに注意する必要があります。
バージョン 10.0.18 はこの特定の脆弱性の重要なパッチを提供していますが、ブランチのサポートされていないステータスは変わりません。
ZCS 10.0 でまだ運用している組織は、10.1 シリーズへの移行計画の加速を強く推奨されています。
サポートされているバージョンへの移行により、将来のセキュリティ更新への継続的なアクセスが保証され、新興脅威とゼロデイ脆弱性への露出が減少します。
積極的な悪用が確認され、厳格な是正期限が導入されているため、Zimbra Collaboration Suite を使用している組織は、セキュアな電子メールとコラボレーション環境を維持するためにパッチ展開と長期アップグレード戦略を優先する必要があります。
翻訳元: https://cyberpress.org/zimbra-collaboration-suite-vulnerability/