Cacat Kritis Zimbra Dapat Membiarkan Email Buatan Menjalankan Kode Berbahaya di Sesi Pengguna
Kerentanan ini digambarkan sebagai kasus penyimpanan skrip lintas situs (XSS) yang memungkinkan email yang dibuat khusus untuk mengeksekusi skrip berbahaya di sesi pengguna. Itu belum diberi pengenal CVE.
Sumber: thehackernews. com
Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Zimbra mendesak pelanggan untuk menerapkan pembaruan guna mengatasi kerentanan keamanan kritis yang berdampak pada Klien Web Klasik yang dapat mengakibatkan eksekusi kode arbitrer.
Kerentanan ini digambarkan sebagai kasus penyimpanan skrip lintas situs (XSS) yang memungkinkan email yang dibuat khusus untuk mengeksekusi skrip berbahaya di sesi pengguna. Itu belum diberi pengenal CVE.
“Pembaruan ini memperbaiki masalah keamanan di Klien Web Klasik di mana email yang dibuat khusus dapat menjalankan kode berbahaya saat email dibuka,” kata Zimbra. "Jika dieksploitasi, hal ini dapat memungkinkan akses ke informasi kotak surat, data sesi, atau pengaturan akun."
Kerentanan XSS terjadi ketika aplikasi menyertakan data yang tidak tepercaya di halaman web tanpa validasi atau pelolosan yang tepat. Hal ini memungkinkan penyerang memasukkan dan mengeksekusi JavaScript berbahaya di browser korban, yang dapat mengakibatkan pembajakan sesi, pencurian kredensial, dan penyusupan akun.
XSS Tersimpan, atau XSS persisten, adalah jenis cacat XSS di mana skrip yang disuntikkan disimpan secara permanen di server target dalam database dalam bentuk komentar atau postingan forum yang tampaknya tidak berbahaya, menyebabkan pengunjung situs mana pun disusupi segera setelah halaman yang berisi JavaScript dimuat di browser web mereka.
Oktober lalu, kelemahan XSS yang tersimpan di Klien Web Klasik (CVE-2025-27915, Skor CVSS: 5. 4) diduga telah dieksploitasi sebagai serangan zero-day yang menargetkan militer Brasil, meskipun Zimbra mengatakan kepada The Hacker News pada saat itu bahwa mereka tidak menemukan bukti yang mendukungnya.
Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.