美國網路安全與基礎設施安全局 (CISA) 已下令美國政府機構保護其伺服器，以防範 Zimbra Collaboration Suite (ZCS) 中正在積極利用的漏洞。Zimbra 是一款非常受歡迎的電子郵件和協作軟體套件，全球數億用戶都在使用，其中包括數千家企業和數百個政府機構。

該高風險安全漏洞被追蹤為CVE-2025-66376，並於 11 月初進行了修復。此漏洞源自於經典 UI 中儲存的跨站腳本 (XSS) 漏洞，未經驗證的遠端攻擊者可以透過濫用電子郵件 HTML 中的層疊樣式表 (CSS) @import 指令來利用該漏洞。

雖然 Synacor（Zimbra 背後的公司）沒有透露 CVE-2025-66376 攻擊成功的影響的任何細節，但它很可能被利用來透過惡意 HTML 電子郵件執行任意 JavaScript，從而可能使攻擊者劫持用戶會話並竊取受感染 Zimbra 環境中的敏感資料。

Zimbra 的安全漏洞經常成為攻擊目標，近年來已被利用來入侵全球數千個易受攻擊的電子郵件伺服器。例如，早在 2022 年 6 月，Zimbra 驗證繞過和遠端程式碼執行漏洞就被濫用，導致 1000 多台伺服器遭到入侵。

最近，威脅行為者利用 Zimbra 的另一個 XSS 漏洞 (CVE-2025-27915)發動零時差攻擊，執行任意 JavaScript 程式碼，從而設定電子郵件過濾器，將郵件重定向到攻擊者控制的伺服器。

資料來源：https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-zimbra-xss-flaw-exploited-in-attacks/