2025/10/07 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Synacor Zimbra Collaboration Suite (ZCS) の脆弱性 CVE-2025-27915 を、Known Exploited Vulnerabilities (KEV) カタログに登録した。この脆弱性 CVE-2025-27915 は、Zimbra Collaboration Suite のバージョン 9.0~10.1 に存在する、蓄積型 XSS の欠陥であり、ICS ファイル (iCalendar 形式) における HTML サニタイズの不備に起因する。悪意の ICS エントリを取り込んだメールを被害者が開くと、<ontoggle> イベントを介して JavaScript が実行され、攻撃者によるセッションの乗っ取り/メール転送設定の変更/データ窃取が引き起こされる。
Tag: CVE-2025-27915
Zimbra の脆弱性 CVE-2025-27915:iCalendar ファイルを介した XSS 攻撃の痕跡が発見される
Hackers exploited Zimbra flaw as zero-day using iCalendar files
2025/10/05 BleepingComputer — 大容量の “.ICS” カレンダー添付ファイルを監視していた研究者たちが、今年の初めに発見したゼロデイ攻撃で判明したのは、Zimbra Collaboration Suite (ZCS) の脆弱性が悪用されていたことだ。iCalendar ファイルとも呼ばれる “.ICS” ファイルは、カレンダーやスケジュール情報 (会議/イベント/タスク) をプレーン・テキストで保存し、さまざまなカレンダー・アプリ間で交換するために使用される。そして、ZCS 9.0/10.0/10.1 のクロスサイト・スクリプティング (XSS) の脆弱性 CVE-2025-27915 を悪用する脅威アクターは、標的システムに対して JavaScript ペイロードを送り込んでいた。
Continue reading “Zimbra の脆弱性 CVE-2025-27915:iCalendar ファイルを介した XSS 攻撃の痕跡が発見される”Zimbra Classic Web Client の脆弱性 CVE-2025-27915 が FIX:任意の JavaScript 実行の恐れ
Zimbra Classic Web Client Vulnerability Allows Arbitrary JavaScript Execution
2025/06/24 gbhackers — Zimbra Collaboration Suite (ZCS) の Classic Web Client に、重大なセキュリティ脆弱性が発見された。この脆弱性を悪用する攻撃者は、蓄積型クロスサイト・スクリプティング (XSS) を通じて、任意の JavaScript コード実行の可能性を手にする。それにより、数百万のビジネス・ユーザーが影響を受ける恐れがある。この脆弱性 CVE-2025-27915 は、すでに修正済であるが、パッチ適用前の ZCS バージョン 9.0/10.0/10.1 に影響を及ぼし、企業のメール・セキュリティに対する重大な脅威を生み出している。
Continue reading “Zimbra Classic Web Client の脆弱性 CVE-2025-27915 が FIX:任意の JavaScript 実行の恐れ”
IoT OT Security News 