Se ha descubierto una vulnerabilidad de severidad alta en productos Zimbra. Un actor malicioso podría desencadenar secuencias de comandos entre sitios.
Productos afectados
- Zimbra Collaboration Kepler (anteriores a 9.0.0 P44)
- Zimbra Collaboration Daffodil (anteriores a 10.0.13)
- Zimbra Collaboration Daffodil (anteriores a 10.1.5)
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-27915: con una puntuación de 5.4 en CVSS v3.1. Existe una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada. Un actor malicioso podría ejecutar JavaScript arbitrario en la sesión de la víctima, permitiendo acciones no autorizadas como redirección de correos.
Nota: La vulnerabilidad CVE-2025-27915 podría estar siendo explotada.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-27915
- https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.5#Security_Fixes
- https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.13#Security_Fixes
- https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P44#Security_Fixes