# Vulnérabilité XSS critique : plus de 10 000 serveurs Zimbra exposés à une exploitation active  Selon **Shadowserver**, une organisation de sécurité à but non lucratif, plus de 10 000 instances de **Zimbra Collaboration Suite (ZCS)** accessibles en ligne sont vulnérables à des attaques en cours exploitant une faille de sécurité de type cross-site scripting (XSS). **Zimbra** est une suite logicielle de messagerie et de collaboration largement utilisée par des centaines de millions d'utilisateurs dans le monde, y compris des agences gouvernementales et des entreprises. ## CVE-2025-48700 : La Vulnérabilité La vulnérabilité, identifiée comme **CVE-2025-48700**, affecte les versions 8.8.15, 9.0, 10.0 et 10.1 de **ZCS**. Elle permet à des attaquants non authentifiés d'accéder à des informations sensibles en exécutant du JavaScript arbitraire dans la session de l'utilisateur. L'exploitation ne nécessite aucune interaction de l'utilisateur et peut être déclenchée lorsqu'un utilisateur consulte un e-mail malveillant dans l'interface Zimbra Classic. **Synacor** a publié des correctifs de sécurité pour cette faille en juin 2025. ## CISA ajoute CVE-2025-48700 au catalogue KEV Lundi, la **Cybersecurity and Infrastructure Security Agency (CISA)** a signalé que **CVE-2025-48700** était activement exploitée et l'a ajoutée à son [catalogue des vulnérabilités connues exploitées (KEV)](https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-48700). **CISA** a ordonné aux agences du Federal Civilian Executive Branch (FCEB) de corriger leurs serveurs **Zimbra** dans les trois jours, soit avant le 23 avril. ## Les Serveurs Non Patchés Restent Exposés Vendredi, **Shadowserver** a signalé que plus de 10 500 serveurs **Zimbra** restaient non patchés, principalement situés en Asie (3 794) et en Europe (3 793).  *Serveurs Zimbra non patchés exposés en ligne (Shadowserver)* ## Exploitation par APT28 et Attaques Historiques Bien que **CISA** n'ait pas publié de détails spécifiques sur les attaques **CVE-2025-48700**, une autre vulnérabilité XSS, **CVE-2025-66376**, a été exploitée par le groupe parrainé par l'État **APT28** (alias Fancy Bear, Strontium) dans des attaques de phishing visant des entités gouvernementales ukrainiennes à partir de janvier. Cette campagne, baptisée Operation GhostMail par **Seqrite Labs**, impliquait la livraison de payloads JavaScript obfusqués via des e-mails malveillants. Les failles **Zimbra** ont été fréquemment ciblées ces dernières années. En février 2023, le groupe de cyberespionnage russe Winter Vivern a exploité une vulnérabilité XSS réfléchie pour compromettre des portails webmail **Zimbra** et voler des e-mails d'organisations alignées sur l'OTAN. Plus récemment, en octobre 2024, les agences de cybersécurité américaines et britanniques ont averti que **APT29** (alias Cozy Bear, Midnight Blizzard) ciblait des serveurs **Zimbra** vulnérables pour voler des identifiants de comptes de messagerie.