CVE-2025-27915

چکیده

آسیب‌پذیری XSS ذخیره شده در Zimbra Collaboration Suite (ZCS) نسخه‌های 9.0، 10.0 و 10.1 در کامپوننت کلاینت وب کلاسیک (Classic Web Client)، به دلیل عدم پاک‌سازی مناسب محتوای HTML در فایل‌های ICS است. در این حمله، مهاجم می‌تواند با ارسال یک ایمیل حاوی ICS مخرب، کد جاوااسکریپت را در نشست کاربر اجرا کند و اقداماتی مانند تغییر فیلترهای ایمیل یا هدایت پیام‌ها به آدرس‌های تحت کنترل خود انجام دهد. این ضعف به مهاجم اجازه می‌دهد تا بدون تعامل پیچیده کاربر، کنترل محدودی روی حساب قربانی پیدا کند.

توضیحات

آسیب‌پذیری CVE‑2025‑27915 در Zimbra Collaboration Suite (ZCS) ناشی از عدم خنثی‌سازی مناسب ورودی در تولید صفحات وب است و مطابق با CWE‑79 طبقه‌بندی می‌شود. این ضعف به دلیل عدم پاک‌سازی مناسب محتوای HTML در فایل‌های ICS (iCalendar، فرمت استاندارد برای تبادل اطلاعات تقویمی، پسوند .ics) در کامپوننت کلاینت وب کلاسیک است؛ به‌گونه‌ای که مهاجم می‌تواند با جاسازی کد جاوااسکریپت داخل یک فایل تقویم (ICS) مخرب که از طریق ایمیل ارسال می‌شود، آن کد را هنگام مشاهده پیام توسط کاربر اجرا کند. اجرای اسکریپت به‌واسطه رویداد ontoggle در تگ <details> (رویدادی که هنگام باز یا بسته شدن المنت در HTML5 فعال می‌شود) ایجاد شده و به مهاجم اجازه می‌دهد در نشست کاربر کد دلخواه را اجرا کرده و فعالیت هایی مانند تغییر تنظیمات حساب، ایجاد یا تغییر فیلترهای ایمیل به‌منظور هدایت پیام‌ها به آدرس تحت کنترل مهاجم و استخراج داده‌های حساس (data exfiltration) انجام دهد. مسیر حمله معمولاً از طریق کانال‌های استاندارد ایمیل مانند SMTP (پروتکل ارسال ایمیل) یا IMAP (پروتکلی برای دسترسی به ایمیل های ذخیره شده روی سرور) امکان‌پذیر می‌شود؛ مهاجم فقط نیاز دارد فایل ICS را به‌عنوان پیوست ارسال کند و پس از باز شدن ایمیل توسط کاربر، بدون تعامل اضافی اسکریپت اجرا می‌شود. بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است. به‌عنوان مثال مهاجم می‌تواند ایمیلی حاوی پیلودی شبیه “<details ontoggle=alert(‘XSS’)>test</details>” ارسال کند و بلافاصله پس از باز شدن پیام توسط قربانی، کد جاوااسکریپت را برای تغییر فیلترها یا سرقت توکن نشست اجرا نماید.

پیامدهای این آسیب‌پذیری شامل نقض محرمانگی باسرقت محتوا و اطلاعات شخصی و یکپارچگی با تغییر غیرمجاز تنظیمات حساب و دسترسی غیرمجاز به حساب کاربری است. به‌دلیل شواهد اکسپلویت فعال، این CVE در فهرست KEV سازمان CISA قرار گرفته و رفع فوری آن الزامی است. این آسیب پذیری با انتشار پچ‌های رسمی9.0.0 Patch 46 ، 10.0.13 و 10.1.5 برطرف شده است که مکانیزم‌های پاک‌سازی ورودی (input sanitization) را تقویت کرده و اجرای اسکریپت‌های جاسازی‌شده در فایل‌های ICS را مسدود می‌کند.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Zimbra Collaboration Suite را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

آسیب‌پذیری XSS ذخیره شده با شدت متوسط در Zimbra Collaboration Suite (ZCS)، ریسک اجرای اسکریپت‌های مخرب از طریق فایل‌های ICS را افزایش می‌دهد و می‌تواند منجر به سرقت داده‌ها، هدایت ایمیل‌ها و نفوذ به حساب‌های کاربران شود. با توجه به انتشار پچ های رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: تمام سرورهای ZCS را به نسخه‌های 10.1.5، 10.0.13 یا 9.0.0 Patch 46 (بر اساس نسخه فعلی) به روزرسانی کنید.
• پاک سازی ورودی و محدود سازی اجرا: در کلاینت وب کلاسیک، فیلترهای محتوایی را برای فایل‌های ICS فعال کنید و از ابزارهایی مانند سیاست امنیت محتوا (CSP) برای مسدود کردن اجرای اسکریپت‌های inline استفاده نمایید.
• نظارت بر ایمیل‌ها و پیوست ها: سیستم‌های ایمیل را با ابزارهایی مانند SpamAssassin یا ClamAV برای اسکن پیوست‌های ICS مخرب مجهز کنید و لاگ‌های ZCS را در سطح DEBUG برای رویدادهای مرتبط با ontoggle یا اجرای جاوااسکریپت بررسی نمایید.
• ایزوله‌سازی محیط: ZCS را در محیط‌های ایزوله مانند Docker یا ماشین های مجازی اجرا کنید و دسترسی SMTP/IMAP را با فایروال اپلیکیشن (WAF) مانند ModSecurity محدود سازید تا ایمیل‌های مشکوک فیلتر شوند.
• تست امنیتی: اپلیکیشن‌ها را با ابزارهای اسکن مانند OWASP ZAP یا Burp Suite برای تست XSS در فایل‌های ICS ارزیابی کنید و از روش‌های Fuzzing (تست ورودی‌های تصادفی) برای شناسایی نقاط ضعف در پاک سازی HTML بهره ببرید.
• آموزش کاربران: کاربران را در مورد ریسک باز کردن ICS ناشناخته آموزش دهید و سیاست‌های امنیتی مانند عدم کلیک روی لینک‌های مشکوک را اعمال نمایید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و نظارت بر پیوست‌ها، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت سیستم‌های ایمیل ZCS را در برابر حملات XSS تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم از کانال‌های ایمیل استاندارد (SMTP/IMAP) استفاده می‌کند تا یک پیوست ICS مخرب ارسال کند که حامل HTML/JS آلوده است؛ وقتی کاربر ایمیل را در Classic Web Client باز می‌کند، محتوای ناشناسِ ICS در نمای پیام render شده و بدین ترتیب توازنی برای ورود اولیه به نشست کاربر فراهم می‌شود.

Execution (TA0002)
اجرای کد در بستر نشست کاربر (در مرورگر قربانی) از طریق تریگر HTML5 مثلاً ontoggle در details رخ می‌دهد و اسکریپت ضمن نشست کاربر اجرا شده و می‌تواند تغییرات تنظیماتی یا درخواست‌های پس‌زمینه ارسال کند.

Credential Access (TA0006)
اسکریپت اجراشده قادر است توکن‌های نشست یا کوکی‌های با سطح دسترسی پایین تا متوسط را سرقت یا از طریق تغییرات در تنظیمات (redirect/forward) راهی برای فیشینگ مجدد ایجاد کند؛ همچنین می‌تواند درخواست‌هایی برای بازیابی اطلاعات حساب ارسال کند.

Discovery (TA0007)
کد مخرب می‌تواند از طریق APIهای وب‌کلاینت اطلاعات ساختار حساب، فهرست مخاطبین و تنظیمات فیلترها را بازخوانی کند تا هدف‌گیری‌های بعدی را دقیق کند.

Privilege Escalation (TA0004)
اگر مهاجم با سرقت توکن یا اجرای عملیات تغییر تنظیمات، قوانینی ایجاد کند که ایمیل‌ها را به آدرس‌های خارجی فوروارد کند، می‌تواند دسترسی عملیاتی بیشتری کسب کند یا نقش‌های کاربری کم‌امن را استثمار نماید؛ افزون بر این، ضعف‌های ترکیبی در پلاگین‌ها یا تنظیمات پیش‌فرض ممکن است اجازه افزایش اختیارات بدهد.

Collection (TA0009)
اسکریپت می‌تواند محتوای ایمیل‌ها، پیوست‌ها و تقویم کاربر را خوانده و در قالب درخواست‌های خروجی یا از طریق فورواردهای نامحسوس جمع‌آوری کند؛ داده‌های حساس سریعاً در معرض استخراج قرار می‌گیرند.

Exfiltration (TA0010)
اطلاعات جمع‌آوری‌شده می‌تواند به آدرس‌های تحت کنترل مهاجم فوروارد یا از طریق اتصالات HTTP/HTTPS پنهان‌شده ارسال شود

Defense Evasion (TA0005)
مهاجم از HTML/JS در داخل فرمت ICS و تکنیک‌های obfuscation بهره می‌برد تا از تشخیص مبتنی بر امضا فرار کند

Lateral Movement (TA0008)
با کنترل حساب‌های ایمیل و ایجاد فوروارد یا تغییر فیلترها، مهاجم می‌تواند ایمیل‌های احراز هویت یا اطلاع‌رسانی را به حساب‌های تحت کنترلش هدایت کند و به این ترتیب pivot کند تا به سرویس‌ها و حساب‌های دیگر نفوذ یابد.

Impact (TA0040)
سرقت اطلاعات حساس، تغییر دائمی تنظیمات ایمیل (persistence)، دسترسی غیرمجاز به مکاتبات سازمانی و امکان فیشینگ داخلی مؤثر.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-27915
2. https://www.cvedetails.com/cve/CVE-2025-27915/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-27915
4. https://vuldb.com/?id.299559
5. https://wiki.zimbra.com/wiki/Security_Center
6. https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.5#Security_Fixes
7. https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.13#Security_Fixes
8. https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P44#Security_Fixes
9. https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-27915
10. https://nvd.nist.gov/vuln/detail/CVE-2025-27915
11. https://cwe.mitre.org/data/definitions/79.html