Zimbra Desak Pengguna Segera Patch Celah XSS Kritis pada Classic Web Client

Zimbra mengimbau seluruh pelanggan yang masih menggunakan Classic Web Client untuk segera melakukan pembaruan setelah ditemukan celah keamanan kritis berupa Stored Cross-Site Scripting (XSS) yang dapat dimanfaatkan penyerang untuk mengambil alih informasi akun email.
Perbaikan telah tersedia melalui Zimbra Collaboration Suite (ZCS) 10.1.19, yang dirilis pada 7 Juli 2026. Hingga saat ini kerentanan tersebut masih belum memiliki nomor CVE resmi, namun tingkat risikonya dinilai sangat tinggi sehingga administrator disarankan segera melakukan upgrade.
Serangan Dipicu Melalui Email Berbahaya
Kerentanan ini hanya memengaruhi Classic Web Client atau Classic UI, antarmuka webmail berbasis Ajax yang masih digunakan banyak organisasi karena lebih ringan dibandingkan antarmuka web modern milik Zimbra.
Penyerang dapat mengirim email yang telah dimodifikasi sedemikian rupa sehingga ketika dibuka melalui Classic Web Client, skrip berbahaya akan langsung dijalankan di browser korban.
Jika berhasil dieksploitasi, pelaku dapat memperoleh akses ke berbagai informasi sensitif seperti:
- Cookie sesi (session cookies)
- Informasi login pengguna
- Pengaturan akun email
- Isi kotak surat (mailbox)
- Data lain yang dapat diakses melalui sesi pengguna
Karena merupakan Stored XSS, payload berbahaya tersimpan di dalam email sehingga akan dieksekusi saat korban membuka pesan tersebut.
Google Threat Analysis Group Menemukan Kerentanan
Yang membuat kerentanan ini semakin mendapat perhatian adalah fakta bahwa celah tersebut dilaporkan oleh Google Threat Analysis Group (TAG).
Tim ini dikenal sering menemukan serta melaporkan eksploitasi zero-day yang digunakan oleh kelompok peretas yang didukung negara (state-sponsored threat actors), terutama dalam operasi spionase terhadap:
- Pejabat pemerintah
- Diplomat
- Jurnalis
- Aktivis
- Organisasi berisiko tinggi
Meski Zimbra menyatakan belum ada bukti bahwa celah ini telah dieksploitasi secara luas, asal laporan tersebut membuat administrator disarankan untuk tidak menunda proses pembaruan.
Riwayat Zimbra Sering Menjadi Target APT Rusia
Dalam beberapa tahun terakhir, server Zimbra menjadi sasaran berbagai kelompok Advanced Persistent Threat (APT) yang berafiliasi dengan Rusia.
Beberapa insiden penting meliputi:
- Februari 2023 – Kelompok Winter Vivern memanfaatkan celah Reflected XSS untuk mencuri email dari organisasi yang berafiliasi dengan NATO, termasuk pejabat pemerintah, personel militer, dan diplomat.
- Oktober 2024 – Pemerintah Amerika Serikat dan Inggris memperingatkan bahwa kelompok APT29 (Midnight Blizzard/Cozy Bear) mengeksploitasi kerentanan Zimbra secara massal untuk mencuri kredensial email.
- Maret 2026 – CISA memerintahkan seluruh instansi federal AS untuk segera menambal CVE-2025-66376, yang dieksploitasi oleh kelompok APT28 dalam serangan terhadap lembaga pemerintah Ukraina.
- April 2026 – Shadowserver melaporkan lebih dari 10.500 server Zimbra yang masih rentan terhadap eksploitasi CVE-2025-48700 karena belum diperbarui.
Riwayat tersebut menunjukkan bahwa Zimbra secara konsisten menjadi target utama berbagai operasi spionase siber tingkat negara.
Administrator Disarankan Segera Upgrade
Zimbra menegaskan bahwa organisasi yang masih menggunakan Classic Web Client sebaiknya segera melakukan pembaruan ke ZCS 10.1.19.
Selain memasang pembaruan terbaru, administrator juga disarankan untuk:
- Memastikan seluruh server menggunakan versi ZCS terbaru.
- Mengurangi penggunaan Classic Web Client apabila memungkinkan.
- Memantau aktivitas login dan akses email yang mencurigakan.
- Mengedukasi pengguna agar berhati-hati saat membuka email yang tidak dikenal.
Langkah-langkah tersebut penting untuk meminimalkan risiko pencurian data maupun penyalahgunaan akun email perusahaan.
Sumber: Zimbra








