CISA警告郵件伺服器Zimbra高風險漏洞已被用於攻擊，要求盡速修補

美國網路安全暨基礎設施安全局（CISA）近日警告，去年底揭露的高風險漏洞CVE-2025-66376已被實際利用。這意味著，未修補此弱點的Zimbra Collaboration Suite郵件系統的安全風險大增，CISA將其納入已知遭利用漏洞清單（KEV），要求各機構儘速修補。

Zimbra是廣獲使用的電子郵件與協作軟體套件，這次CISA警示的CVE-2025-66376漏洞，是Zimbra Classic Web介面的儲存型跨站腳本（XSS）問題，攻擊者可透過特製的HTML電子郵件注入惡意程式碼，進而在用戶開啟郵件時執行任意JavaScript，可能導致用戶工作階段遭劫持，進而造成郵件內容與敏感資料外洩，開發商Zimbra已於2025年11月發布此漏洞的修補程式，尚未更新的用戶應盡速修補，以降低風險。