Résumé
Le 18 mars 2026, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans Synacor Zimbra Collaboration Suite (ZCS), un serveur de messagerie et collaboration pour entreprises.
Référencée sous CVE-2025-66376, cette vulnérabilité est une injection de code croisée (XSS) dans l’interface utilisateur classique. Un attaquant peut abuser des directives CSS @import dans le HTML des e-mails pour injecter du code malveillant qui s’exécute dans le navigateur de la victime, risquant de voler des données ou de manipuler l’interface.
Solutions
Il est recommandé d’appliquer les correctifs indiqués par Synacor, comme la mise à jour vers les versions 10.0.18, 10.1.13 ou supérieures.
La faille est activement exploitée : Non
Details techniques
Score CVSS : 6.1
EPSS : 0.03
Systèmes affectés
• Zimbra Collaboration versions 10.0.x antérieures à 10.0.18
• Zimbra Collaboration versions 10.1.x antérieures à 10.1.13
Documentation
Référence :
https://wiki.zimbra.com/index.php?title=ZimbraSecurityAdvisories&oldid=71241
Nist Details CVE
https://nvd.nist.gov/vuln/detail/CVE-2025-66376
CVE Details
https://www.cvedetails.com/cve/CVE-2025-66376/
Reference CVE
https://www.cve.org/CVERecord?id=CVE-2025-66376
CWE
https://www.cvedetails.com/cwe-details/CWE-79