CISA KEV 警告 26/03/18:Zimbra Collaboration の脆弱性 CVE-2025-66376 を登録

CISA Adds Exploited Zimbra Collaboration Suite Flaw to Warning List

2026/03/19 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Zimbra Collaboration Suite (ZCS) に影響を及ぼす深刻な脆弱性 CVE-2025-66376 を Known Exploited Vulnerabilities (KEV) カタログへ正式に追加した。このプラットフォームを使用する連邦政府の機関/組織は、2026年4月1日までに必要なアップデートを適用し、積極的な攻撃によるリスクを軽減する必要がある。

Zimbra Collaboration Suite の脆弱性

この脆弱性 CVE-2025-66376 は、Zimbra Classic UI における蓄積型クロスサイト・スクリプティング (XSS) の欠陥である。

この問題は、ソフトウェアが悪意のメール・コンテンツを処理する方法に起因する。HTML メールに埋め込まれた、Cascading Style Sheets (CSS) の @import ディレクティブを悪用する攻撃者により、標準的な入力フィルタが回避されてしまう。

ターゲットが細工されたメッセージを開くと、カレントのセッション・コンテキスト内で悪意のスクリプトが実行される。それにより、脅威アクターは、機密メールへのアクセスや、ユーザー・セッションの乗っ取りなどを可能にする。

なお、この脆弱性とランサムウェア・キャンペーンとの関係性は不明であるが、CISA の KEV リストへの追加が示すのは、実環境におけるアクティブな悪用が確認されていることである。

すでに Zimbra のベンダーである Synacor は、最新のパッチをリリースし、この問題に対処している。

このセキュリティアップデートは、AntiSamy HTML フィルタリング・コンポーネントをバージョン 1.7.8 へとアップグレードし、脆弱なレガシー・コードを削除することで XSS の欠陥を修正している。

管理者はシステム保護のため、修正済みバージョンへ更新する必要がある。

  • Zimbra Collaboration Suite バージョン 10.1.13:現行のブランチ・ユーザーによる速やかなインストールが必要。
  • Zimbra Collaboration Suite バージョン 10.0.18:レガシー環境向けの重要なセキュリティ・アップデートが提供。

このパッチの展開リスクについて、Synacor は中程度と評価しており、本番サーバへ適用前に標準的なステージングおよびテストの実施が必要だと述べている。

CISA は連邦政府機関に対して、ベンダーが提供する緩和策の速やかな適用もしくは、アップデートが不可能な場合の製品の使用停止を強く推奨している。

追加のセキュリティおよびシステムアップデート

Synacor は、最新の Zimbra アップデートにおいて、複数の基盤的なセキュリティおよびユーザビリティ改善を提供している。

これらの追加は、システム全体の安定性の向上と、最新の管理要件への適合を目的とする。

  • 最新の RFC ガイドラインに準拠する形で、Transport Layer Security (TLS) 処理を強化。
  • メール・ボックスの移行において、Amazon S3 のデータ管理およびクリーンアップ機能の利用が可能。
  • 新しい Ignite スマートメール検索により、LDAP による外部メール警告と即時のサジェスト機能を提供。
  • 強化されたリカバリ機能により、Trash フォルダから削除されたメール/連絡先/ファイルの復元が可能。
  • 更新された Zimbra Connector for Outlook (ZCO) により、Outlook 2024 との完全互換性を提供。
  • Synacor は、レガシー Outlook クライアント向けに、Exchange Web Services (EWS) 互換性を2026年10月まで維持する予定。
  • Zimbra バージョン 10.0 が、2025年12月31日に End of Life (EOL) を迎えた点に注意。

バージョン 10.0.18 でも、脆弱性 CVE-2025-66376 対する修正は提供するが、10.0 系を利用する組織は、10.1 系への移行を速やかに計画する必要がある。

バージョン 10.1 へ移行することで、今後のセキュリティ・パッチおよび脅威緩和策への継続的なアクセスが確保される。

Zimbra Collaboration Suite (ZCS) の深刻な脆弱性 CVE-2025-66376 が、CISA KEV カタログに登録されました。この脆弱性は、すでに実際の攻撃に悪用されているため、CISA は迅速な対応を求めています。 この脆弱性は、 Zimbra の旧式のユーザーインターフェース (Classic UI) において、 メールの内容が処理される際のフィルタリングに起因します。 攻撃者が細工したメールをユーザーが開くだけで、 セッションの乗っ取りが発生し、機密メールが漏洩する危険があります。ご利用のチームは、ご注意ください。よろしければ、CISA KEV ページも、ご参照ください。