# Vulnerabilidade Crítica de XSS Expõe Mais de 10.000 Servidores Zimbra a Exploração Ativa  De acordo com a **Shadowserver**, uma organização de segurança sem fins lucrativos, mais de 10.000 instâncias do **Zimbra Collaboration Suite (ZCS)** acessíveis online são vulneráveis a ataques contínuos que exploram uma falha de segurança de cross-site scripting (XSS). O **Zimbra** é um pacote de software de e-mail e colaboração amplamente utilizado por centenas de milhões de usuários globalmente, incluindo agências governamentais e empresas. ## CVE-2025-48700: A Vulnerabilidade A vulnerabilidade, rastreada como **CVE-2025-48700**, afeta as versões **ZCS** 8.8.15, 9.0, 10.0 e 10.1. Ela permite que atacantes não autenticados acessem informações sensíveis executando JavaScript arbitrário dentro da sessão do usuário. A exploração não requer interação do usuário e pode ser acionada quando um usuário visualiza um e-mail maliciosamente elaborado na Zimbra Classic UI. A **Synacor** lançou patches de segurança para essa falha em junho de 2025. ## CISA Adiciona CVE-2025-48700 ao Catálogo KEV Na segunda-feira, a **Cybersecurity and Infrastructure Security Agency (CISA)** sinalizou a **CVE-2025-48700** como sendo ativamente explorada na natureza e a adicionou ao seu [Known Exploited Vulnerabilities (KEV) Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-48700). A **CISA** ordenou que as agências do Federal Civilian Executive Branch (FCEB) corrigissem seus servidores **Zimbra** em três dias, até 23 de abril. ## Servidores Não Corrigidos Permanecem Expostos Até sexta-feira, a **Shadowserver** relatou que mais de 10.500 servidores **Zimbra** permanecem sem correção, localizados principalmente na Ásia (3.794) e na Europa (3.793).  *Servidores Zimbra não corrigidos expostos online (Shadowserver)* ## Exploração pela APT28 e Ataques Históricos Embora a **CISA** não tenha divulgado detalhes específicos sobre os ataques da **CVE-2025-48700**, outra vulnerabilidade XSS, **CVE-2025-66376**, foi explorada pelo grupo patrocinado pelo estado **APT28** (também conhecido como Fancy Bear, Strontium) em ataques de phishing visando entidades governamentais ucranianas a partir de janeiro. Essa campanha, apelidada de Operation GhostMail pela **Seqrite Labs**, envolveu a entrega de payloads JavaScript ofuscados por meio de e-mails maliciosos. Falhas no **Zimbra** têm sido frequentemente alvos nos últimos anos. Em fevereiro de 2023, o grupo de ciberespionagem russo Winter Vivern explorou uma vulnerabilidade XSS refletida para invadir portais de webmail **Zimbra** e roubar e-mails de organizações alinhadas à OTAN. Mais recentemente, em outubro de 2024, agências cibernéticas dos EUA e do Reino Unido alertaram que a **APT29** (também conhecida como Cozy Bear, Midnight Blizzard) estava visando servidores **Zimbra** vulneráveis para roubar credenciais de contas de e-mail.