更新時間:2026/03/19 15:20:58
發佈時間:2026/03/19 15:20:58
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1][2]
Zimbra郵件伺服器(Zimbra Collaboration Suite,ZCS)的Webmail Classic UI存在儲存型跨網站指令碼(Stored Cross-Site Scripting,XSS)漏洞(CVE-2025-66376)。攻擊者可透過濫用HTML電子郵件中CSS的@import指令觸發跨網站指令碼攻擊。
二、已揭露攻擊活動說明
1. CISA已納入漏洞利用清單。[3]
▶ 漏洞資訊
⌵
名稱:
CVE-2025-66376
描述:
使用版本:CVSS 3.1
分析分數:7.2
參考來源:CNA(MITRE)
▶ 影響平台
⌵
影響平台-系統:
1. Zimbra Collaboration(ZCS)10.0系列:低於10.0.18(不含)版本受影響,建議升級至10.0.18或以上版本。
2. Zimbra Collaboration(ZCS)10.1系列:低於10.1.13(不含)版本受影響,建議升級至10.1.13或以上版本。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories | Zimbra |
| 2 | https://nvd.nist.gov/vuln/detail/CVE-2025-66376 | NVD |
| 3 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
情資編號:
FISAC-200-202603-0007
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞