La vulnerabilidad CVE-2025-27915 afecta al Classic Web Client de Zimbra, permitiendo Stored XSS mediante archivos .ICS con código HTML/JavaScript malicioso. El boletín incluye detalles técnicos, versiones afectadas, IoC, medidas de mitigación y referencias técnicas para prevenir la explotación.
El ataque se ejecuta cuando un archivo .ICS malicioso es recibido como adjunto. Durante la visualización en el Classic Web Client, Zimbra no sanitiza adecuadamente elementos HTML como con atributo ontoggle, permitiendo la ejecución de JavaScript dentro del contexto del usuario. Esto puede comprometer la integridad del buzón de correo, alterar reglas de reenvío y permitir exfiltración de datos.
Sobre la vulnerabilidad:
- CVE-2025-27915: Vulnerabilidad Stored XSS en Zimbra Classic Web Client,
- Tipo: Stored Cross‑Site Scripting (CWE‑79)
- Vector: Archivo iCalendar (.ICS) malicioso enviado por correo.
- Componente afectado: Classic Web Client.
- Mecanismo: Ejecución de JavaScript mediante evento ontoggle en etiquetas <details>.
Impacto:
- Ejecución de código JavaScript con privilegios de sesión.
- Modificación de filtros y reglas de correo.
- Exfiltración de información sensible.
- Persistencia del ataque en el sistema (almacenado).
Versiones afectadas:
| Versión de Zimbra | Estado / Patch | Comentario |
| ZCS 9.0.0 | Vulnerable hasta Patch 43 | Corregido en Patch 44 |
| ZCS 10.0 | Vulnerable hasta antes de 10.0.13 | Corregido en 10.0.13 |
| ZCS 10.1 | Vulnerable hasta antes de 10.1.5 | Corregido en 10.1.5 |
Indicadores de Compromiso (IoC):
- Archivos .ICS con etiquetas HTML (<details>, <script>) o atributos ontoggle.
- Cambios no autorizados en filtros o reglas de reenvío.
- Logs con creación de filtros sospechosos o acceso inusual.
- ICS con tamaño anómalo o adjuntos repetidos.
- IPs o dominios asociados a envíos masivos de ICS maliciosos.
Recomendaciones:
Acciones inmediatas:
- Aplicar los parches oficiales: ZCS 9.0.0 Patch 44, 10.0.13 y 10.1.5.
- Deshabilitar el Classic Web Client si no es posible parchear.
- Filtrar adjuntos .ICS sospechosos.
- Crear reglas WAF para bloquear payloads HTML/JS en .ICS.
- Monitorear cambios en filtros de correo.
Acciones a mediano plazo:
- Habilitar autenticación multifactor (2FA).
- Revisar periódicamente reglas de reenvío.
- Capacitar a usuarios sobre correos con adjuntos .ICS.
- Mantener actualizaciones y parches de seguridad.
Referencias:
[1] NVD, “CVE‑2025‑27915,” National Vulnerability Database. https://nvd.nist.gov/vuln/detail/CVE-2025-27915
[2] Zimbra, “Security Updates — Patch 44 / 10.0.13 / 10.1.5.” Zimbra Support Portal.
[3] CISA, “Known Exploited Vulnerabilities Catalog,” Cybersecurity & Infrastructure Security Agency.
[4] StrikeReady, “Technical analysis of Zimbra ICS 0‑day exploitation.”
[5] The Hacker News, “Zimbra 0‑day Exploited via Malicious ICS Files,” octubre 2025.erability Database) — entrada oficial del CVE. https://nvd.nist.gov/vuln/detail/CVE-2025-10649ess-plugins/events-manager/events-manager-calendar-bookings-tickets-and-more-663-unauthenticated-sql-injection-via-event-status-parameter.