# Kritische XSS-Schwachstelle setzt über 10.000 Zimbra-Server aktiv der Ausnutzung aus  Laut **Shadowserver**, einer gemeinnützigen Sicherheitsorganisation, sind über 10.000 online zugängliche Instanzen der **Zimbra Collaboration Suite (ZCS)** anfällig für laufende Angriffe, die eine Cross-Site-Scripting (XSS)-Sicherheitslücke ausnutzen. **Zimbra** ist eine weit verbreitete E-Mail- und Kollaborationssoftware-Suite, die von Hunderten von Millionen Nutzern weltweit eingesetzt wird, darunter auch Regierungsbehörden und Unternehmen. ## CVE-2025-48700: Die Schwachstelle Die Schwachstelle mit der Kennung **CVE-2025-48700** betrifft **ZCS**-Versionen 8.8.15, 9.0, 10.0 und 10.1. Sie ermöglicht es nicht authentifizierten Angreifern, auf sensible Informationen zuzugreifen, indem beliebiger JavaScript-Code innerhalb der Benutzersitzung ausgeführt wird. Die Ausnutzung erfordert keine Benutzerinteraktion und kann ausgelöst werden, wenn ein Benutzer eine bösartig gestaltete E-Mail in der Zimbra Classic UI betrachtet. **Synacor** hat im Juni 2025 Sicherheitspatches für diese Lücke veröffentlicht. ## CISA fügt CVE-2025-48700 zum KEV-Katalog hinzu Am Montag kennzeichnete die **Cybersecurity and Infrastructure Security Agency (CISA)** **CVE-2025-48700** als aktiv ausgenutzt und fügte sie ihrem [Known Exploited Vulnerabilities (KEV) Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-48700) hinzu. **CISA** wies Bundesbehörden des zivilen Exekutivbereichs (FCEB) an, ihre **Zimbra**-Server innerhalb von drei Tagen, bis zum 23. April, zu patchen. ## Ungepatchte Server bleiben exponiert Am Freitag berichtete **Shadowserver**, dass über 10.500 **Zimbra**-Server ungepatcht blieben, hauptsächlich in Asien (3.794) und Europa (3.793).  *Ungepatchte Zimbra-Server online exponiert (Shadowserver)* ## APT28-Ausnutzung und historische Angriffe Obwohl **CISA** keine spezifischen Details zu den Angriffen auf **CVE-2025-48700** veröffentlicht hat, wurde eine andere XSS-Schwachstelle, **CVE-2025-66376**, von der staatlich unterstützten **APT28** (auch bekannt als Fancy Bear, Strontium) bei Phishing-Angriffen auf ukrainische Regierungsstellen ab Januar ausgenutzt. Diese Kampagne, von **Seqrite Labs** als Operation GhostMail bezeichnet, beinhaltete die Zustellung von verschleierten JavaScript-Payloads über bösartige E-Mails. **Zimbra**-Schwachstellen wurden in den letzten Jahren häufig ins Visier genommen. Im Februar 2023 nutzte die russische Cyber-Spionagegruppe Winter Vivern eine Reflected XSS-Schwachstelle aus, um **Zimbra**-Webmail-Portale zu kompromittieren und E-Mails von NATO-nahen Organisationen zu stehlen. Kürzlich, im Oktober 2024, warnten US-amerikanische und britische Cyberagenturen, dass **APT29** (auch bekannt als Cozy Bear, Midnight Blizzard) anfällige **Zimbra**-Server ins Visier nahm, um Anmeldeinformationen für E-Mail-Konten zu stehlen.