Zimbra แจ้งเตือนช่องโหว่ร้ายแรงใน Classic Web Client — อีเมลที่ถูกดัดแปลงรันโค้ดอันตรายในเซสชันผู้ใช้ได้

บริษัท Zimbra เร่งให้ลูกค้าอัปเดตแพตช์อุดช่องโหว่ร้ายแรงใน Classic Web Client ที่เปิดทางรันโค้ดโดยพลการได้ ช่องโหว่นี้เป็นแบบ Stored XSS ที่ทำให้อีเมลซึ่งถูกดัดแปลงเป็นพิเศษสามารถรันสคริปต์อันตรายในเซสชันของผู้ใช้เมื่อเปิดอ่าน หากถูกโจมตีสำเร็จอาจเข้าถึงข้อมูลกล่องจดหมาย ข้อมูลเซสชัน หรือการตั้งค่าบัญชีได้ ช่องโหว่ยังไม่ได้รับหมายเลข CVE และแม้ Zimbra ไม่ได้ระบุว่ามีการโจมตีจริง แต่ช่องโหว่ XSS ใน Zimbra เป็นเป้าหมายยอดนิยมของผู้โจมตีมานานหลายปี แนะนำให้อัปเดตเป็นเวอร์ชัน 10.1.19
