# Vulnerabilidad Crítica de XSS Expone a Más de 10,000 Servidores Zimbra a Explotación Activa  Según **Shadowserver**, una organización de seguridad sin fines de lucro, más de 10,000 instancias de **Zimbra Collaboration Suite (ZCS)** accesibles en línea son vulnerables a ataques en curso que explotan una falla de seguridad de cross-site scripting (XSS). **Zimbra** es una suite de software de correo electrónico y colaboración ampliamente utilizada por cientos de millones de usuarios a nivel mundial, incluyendo agencias gubernamentales y empresas. ## CVE-2025-48700: La Vulnerabilidad La vulnerabilidad, rastreada como **CVE-2025-48700**, afecta a las versiones **ZCS** 8.8.15, 9.0, 10.0 y 10.1. Permite a atacantes no autenticados acceder a información sensible mediante la ejecución de JavaScript arbitrario dentro de la sesión del usuario. La explotación no requiere interacción del usuario y puede ser activada cuando un usuario visualiza un correo electrónico diseñado maliciosamente en la interfaz de Zimbra Classic. **Synacor** lanzó parches de seguridad para esta falla en junio de 2025. ## CISA Agrega CVE-2025-48700 al Catálogo KEV El lunes, la **Cybersecurity and Infrastructure Security Agency (CISA)** marcó **CVE-2025-48700** como explotada activamente en la naturaleza y la agregó a su [Catálogo de Vulnerabilidades Explotadas Conocidas (KEV)](https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-48700). **CISA** ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) parchear sus servidores **Zimbra** en un plazo de tres días, para el 23 de abril. ## Servidores Sin Parche Permanecen Expuestos Hasta el viernes, **Shadowserver** reportó que más de 10,500 servidores **Zimbra** permanecen sin parchear, ubicados principalmente en Asia (3,794) y Europa (3,793).  *Servidores Zimbra sin parchear expuestos en línea (Shadowserver)* ## Explotación por APT28 y Ataques Históricos Si bien **CISA** no ha publicado detalles específicos sobre los ataques de **CVE-2025-48700**, otra vulnerabilidad XSS, **CVE-2025-66376**, fue explotada por el grupo patrocinado por el estado **APT28** (también conocido como Fancy Bear, Strontium) en ataques de phishing dirigidos a entidades gubernamentales ucranianas a partir de enero. Esta campaña, denominada Operation GhostMail por **Seqrite Labs**, implicó la entrega de cargas útiles de JavaScript ofuscadas a través de correos electrónicos maliciosos. Las fallas de **Zimbra** han sido frecuentemente blanco en los últimos años. En febrero de 2023, el grupo de ciberespionaje ruso Winter Vivern explotó una vulnerabilidad XSS reflejada para infiltrarse en portales de webmail de **Zimbra** y robar correos electrónicos de organizaciones alineadas con la OTAN. Más recientemente, en octubre de 2024, agencias cibernéticas de EE. UU. y el Reino Unido advirtieron que **APT29** (también conocido como Cozy Bear, Midnight Blizzard) estaba atacando servidores **Zimbra** vulnerables para robar credenciales de cuentas de correo electrónico.