Résumé
Le 7 octobre 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a alerté sur une faille de sécurité dans Synacor Zimbra Collaboration Suite (ZCS), une solution utilisée par de nombreuses entreprises pour la gestion des e-mails et des calendriers.
Référencée sous CVE-2025-27915, cette vulnérabilité concerne la version Classic Web Client et provient d’un manque de contrôle lors de l’ouverture de fichiers calendrier ICS. Concrètement, si un utilisateur ouvre un e-mail contenant une invitation piégée (.ICS), un code JavaScript malicieux peut s’exécuter à son insu via un évènement spécial, ce qui permet à l’attaquant de prendre le contrôle de la session. Cela peut notamment servir à rediriger les e-mails vers une adresse gérée par le pirate ou à voler des données personnelles et professionnelles.
Solutions
Il est impératif de mettre à jour ZCS vers la version 9.0.0 Patch 44, 10.0.13 ou 10.1.5 ou ultérieure, car les versions non corrigées sont exposées à cette attaque.
La faille est activement exploitée : Oui
Détails techniques
Score CVSS : 5.4
EPSS : 0.07%
Risques :
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- Synacor Zimbra Collaboration Suite (ZCS) versions 9.0, 10.0 et 10.1 (Classic Web Client)
Documentation
- Bulletin de sécurité Zimbra
Zimbra Security Advisories
- Nist Details CVE
NVD CVE-2025-27915
- CVE Details
CVE Details
- Reference CVE
CVE-2025-27915
- CWE
CWE-79