Zimbra Classic Web Client の脆弱性 CVE-2025-27915 が FIX:任意の JavaScript 実行の恐れ

Zimbra Classic Web Client Vulnerability Allows Arbitrary JavaScript Execution

2025/06/24 gbhackers — Zimbra Collaboration Suite (ZCS) の Classic Web Client に、重大なセキュリティ脆弱性が発見された。この脆弱性を悪用する攻撃者は、蓄積型クロスサイト・スクリプティング (XSS) を通じて、任意の JavaScript コード実行の可能性を手にする。それにより、数百万のビジネス・ユーザーが影響を受ける恐れがある。この脆弱性 CVE-2025-27915 は、すでに修正済であるが、パッチ適用前の ZCS バージョン 9.0/10.0/10.1 に影響を及ぼし、企業のメール・セキュリティに対する重大な脅威を生み出している。

技術的詳細と悪用手法

この脆弱性は、ICS カレンダー招待ファイル内の HTML コンテンツに対する、不十分なサニタイズ処理に起因する。

悪意の ICS エントリを作成する攻撃者は、それをメールで送信し、Classic Web Client で開かせる。それにより、HTML の <details> タグ内の ontoggle イベントを介して、エンベッドされている JavaScript が実行される。

その後に攻撃者は、被害者のブラウザ・セッションでの任意のコード実行を達成し、メール・リダイレクト/データ漏洩/セッション・ハイジャックなどを引き起こすという。

この脆弱性の悪用に成功した攻撃者は、メール・フィルタの操作/自身が制御するアドレスへのメッセージ転送/セッション・クッキーの窃取などに加えて、フィッシング攻撃を仕掛けたりすることも可能にする。それらのすべてが、被害者に気付かれずに実行される点に、注意すべきである。

この攻撃は、ビジネス環境における一般的なワークフローとして信頼を得ている、カレンダー招待のコンテキストを悪用しているため、きわめて成功率が高いとされる。

影響を受けるバージョンとパッチ情報

この脆弱性が影響を及ぼす範囲は、以下の Zimbra Collaboration Suite バージョンとなる:

  • 9.0.0 up to (but not including) Patch 44
  • 10.0.0 up to (but not including) 10.0.13
  • 10.1.0 up to (but not including) 10.1.5

すでに Zimbra は、重要なセキュリティ・パッチをリリースし、この問題に対処している。ユーザーに推奨されるのは、最新のパッチ・バージョン 9.0.0 Patch 46/10.0.15/10.1.9 へのアップグレードである。

脆弱性の詳細

Vulnerability IDTypeCVSS ScoreAffected VersionsFixed In VersionsDescription
CVE-2025-27915Stored XSS5.4 (Medium)9.0.0–9.0.0 Patch 43
10.0.0–10.0.12
10.1.0–10.1.4		9.0.0 Patch 44+
10.0.13+
10.1.5+		Insufficient sanitization of HTML in ICS files enables arbitrary JavaScript execution.

緩和策と推奨事項

最新バージョンへのアップグレードの他に、推奨される緩和策としては、以下の項目がある:

  • すべてのユーザー入力データに対して、厳格な入力検証とコンテンツのサニタイズを実施する。
  • メールやカレンダーの内容に埋め込まれたスクリプトの実行を制限する。
  • ユーザーに対して、不審なカレンダー招待を開くリスクについて教育する。

最近の Zimbra は、SQL インジェクションやサーバーサイド・リクエスト・フォージェリ (SSRF) などのバグを修正しているが、今回の脆弱性も、その一環として修正されたものである。

このエンタープライズ・コラボレーション・プラットフォームにおける、迅速な対応とパッチのリリースは、プロアクティブなセキュリティ管理の重要性を強調している。

最新の更新情報とパッチの適用手順については公式アドバイザリを参照し、推奨されるセキュリティ更新を遅滞なく適用してほしい。

対応を怠った場合には、データ窃取/アカウント乗っ取りなどに加えて、さらなる悪用リスクなどにさらされる恐れがある。

Zimbra の Classic Web Client に存在する、XSS の脆弱性が修正されたとのことです。悪意のカレンダー招待を送る攻撃者が、ユーザーを騙してそれを開かせ、任意のコード実行にいたるという厄介なものです。ご利用のチームは、十分に ご注意ください。よろしければ、Zimbra で検索も、ご参照ください。