Zimbra to jeden z najpopularniejszych na świecie systemów pocztowych wdrażanych na własnych serwerach — korzystają z niego firmy, uczelnie, instytucje publiczne i wielu dostawców hostingu. Na początku lipca 2026 roku producent wydał pilną aktualizację, która łata poważną lukę w klasycznym interfejsie webowym poczty. Problem jest o tyle groźny, że do jego wykorzystania nie potrzeba żadnej interakcji ofiary poza otwarciem wiadomości — a czasem wystarczy nawet jej podejrzenie w panelu podglądu.
Na czym polega luka
Błąd to klasyczne stored XSS (trwały cross-site scripting) w komponencie Classic Web Client. Napastnik przygotowuje e-mail, w którym ukrywa złośliwy kod JavaScript, i wysyła go na adres ofiary. Kod nie robi nic dopóty, dopóki wiadomość leży w skrzynce. Problem zaczyna się w chwili, gdy użytkownik otworzy lub wyświetli podgląd takiej wiadomości w podatnym interfejsie — wtedy skrypt uruchamia się automatycznie w kontekście zalogowanej sesji.
To zasadnicza różnica względem ataków typu reflected XSS, które zwykle wymagają, żeby ofiara kliknęła w specjalnie przygotowany link. Tutaj złośliwy ładunek jest już „w środku” skrzynki i czeka, aż ktoś po prostu przeczyta pocztę. Zimbra nie przypisała temu błędowi jak dotąd oficjalnego identyfikatora CVE ani oceny CVSS, ale sposób opisu i tempo wydania łatki jednoznacznie sugerują, że traktuje sprawę poważnie.
Co grozi ofierze
Skrypt działający w sesji zalogowanego użytkownika ma dostęp do tego samego, co on sam. W praktyce oznacza to, że napastnik może odczytać zawartość skrzynki, przejąć dane sesji, zmienić ustawienia konta czy wykonać za ofiarę operacje w interfejsie webmaila — na przykład ustawić regułę przekazywania całej korespondencji na zewnętrzny adres. W środowisku pocztowym to szczególnie dotkliwe, bo poczta bywa kluczem do reszty usług: to na skrzynkę przychodzą linki resetujące hasła i kody logowania.
Aktualizacja i co robić
Producent wydał 7 lipca 2026 roku wersję Daffodil 10.1.19, która usuwa problem. Poprawka trafia poprzez zaktualizowane pakiety zimbra-patch oraz zimbra-mbox-webclient-war. Administratorzy serwerów Zimbry powinni wgrać ją bez zbędnej zwłoki — zwłaszcza tam, gdzie klasyczny klient webowy jest włączony i dostępny dla użytkowników.
Poza samą aktualizacją warto przejrzeć logi dostępu do webmaila pod kątem nietypowej aktywności: nieoczekiwanych sesji, dziwnych żądań czy podejrzanych zmian w konfiguracji kont. Dobrym pomysłem jest też sprawdzenie, czy w skrzynkach nie pojawiły się nieautoryzowane reguły przekazywania wiadomości, oraz rozważenie przełączenia użytkowników na nowszy interfejs (Modern Web Client), o ile środowisko na to pozwala.
Zwykli użytkownicy poczty nie mają tu wiele do zrobienia samodzielnie — łatanie leży po stronie administratora serwera. Jeśli jednak korzystasz z firmowej Zimbry, warto dopytać dział IT, czy aktualizacja została już wdrożona, a do czasu jej wgrania zachować ostrożność wobec nietypowych, nieoczekiwanych wiadomości.
Podsumowanie
Luka w klasycznym kliencie Zimbry to przypomnienie, że własny serwer pocztowy wymaga równie systematycznego łatania, co każde inne oprogramowanie wystawione do internetu. Atak, który uruchamia się samym otwarciem e-maila, praktycznie nie daje ofierze szansy na obronę — cała odpowiedzialność spoczywa na administratorze i tempie wdrożenia poprawki. Jeśli zarządzasz instancją Zimbry, aktualizacja do wersji 10.1.19 powinna być teraz zadaniem numer jeden.
źródło: https://thehackernews.com/2026/07/critical-zimbra-flaw-could-let-crafted_0483473395.html