A Agência de Cibersegurança e Segurança das Infraestruturas dos Estados Unidos (CISA) adicionou em abril de 2026 uma nova vulnerabilidade de cross-site scripting (XSS) no Zimbra Collaboration Suite ao seu catálogo de vulnerabilidades exploradas ativamente (KEV). A falha, identificada como CVE-2025-48700, afeta as versões ZCS 8.8.15, 9.0, 10.0 e 10.1 e pode permitir a atacantes não autenticados aceder a informação sensível após executar JavaScript arbitrário na sessão do utilizador — e os patches foram disponibilizados pela Synacor em junho de 2025, altura em que a empresa alertou que a exploração não exige qualquer interação prévia e pode ser desencadeada simplesmente quando um utilizador visualiza uma mensagem de correio eletrónico maliciosa na interface clássica do Zimbra. Apesar dos corretivos disponíveis há meses, mais de 10.500 servidores Zimbra expostos na Internet permanecem sem atualização, com a maioria concentrada na Ásia (3.794) e na Europa (3.793).
O que é o Zimbra e porque é um alvo recorrente
O Zimbra é uma plataforma popular de correio eletrónico e colaboração utilizada por centenas de milhões de pessoas em todo o mundo, incluindo centenas de organismos governamentais e milhares de empresas. A sua ampla adoção — que inclui universidades, prestadores de serviços, entidades públicas e organizações privadas — torna-o um alvo privilegiado para atores de ameaça que procuram acesso a comunicações sensíveis. O histórico de incidentes em torno do Zimbra é extenso: já em junho de 2022, falhas de autenticação e execução remota de código foram exploradas para comprometer mais de 1.000 servidores, e a partir de setembro de 2022 uma vulnerabilidade de dia-zero permitiu a intrusão em cerca de 900 servidores em apenas dois meses.
CVE-2025-48700: uma falha sem fricção para o atacante
A vulnerabilidade CVE-2025-48700 foi descoberta no Zimbra Collaboration Suite nas versões 8.8.15, 9.0, 10.0 e 10.1. Trata-se de uma falha de cross-site scripting (XSS) na interface clássica do Zimbra que permite a atacantes executar JavaScript arbitrário dentro da sessão do utilizador, podendo conduzir a acesso não autorizado a informação sensível. O que distingue esta vulnerabilidade de muitas outras é a ausência total de requisitos do lado da vítima: a exploração não requer qualquer interação e pode ser desencadeada no momento em que o utilizador visualiza uma mensagem de correio maliciosa na interface clássica do Zimbra. Isto significa que basta receber e abrir um e-mail preparado para que o ataque se consuma — sem clicar em ligações, sem abrir anexos, sem introduzir credenciais.
A CISA adicionou CVE-2025-48700 ao seu catálogo de vulnerabilidades exploradas ativamente a 21 de abril de 2026, com base em evidências de exploração real, e ordenou às agências federais civis que protegessem os seus servidores Zimbra no prazo de três dias, até 23 de abril. A rapidez do prazo é um sinal inequívoco da gravidade operacional atribuída a esta falha.
Um padrão de XSS no Zimbra que atrai atores estatais
A CVE-2025-48700 não existe no vazio. Nos meses anteriores, outras vulnerabilidades XSS no Zimbra foram exploradas em campanhas sofisticadas atribuídas a grupos patrocinados por Estados. A falha CVE-2025-66376, corrigida em novembro de 2025, foi explorada pelo grupo APT28 — também conhecido como Fancy Bear ou Strontium, associado ao serviço de informações militar russo — em campanhas de phishing contra entidades governamentais ucranianas a partir de janeiro de 2026. Esta campanha, denominada Operation GhostMail por investigadores da Seqrite Labs, visou também a Agência Estatal de Hidrologia da Ucrânia e entregou um payload JavaScript ofuscado quando os destinatários abriam as mensagens maliciosas em sessões Zimbra vulneráveis.
Ainda antes, em 2025, a falha CVE-2025-27915 — uma vulnerabilidade de XSS armazenada na interface clássica do Zimbra com pontuação CVSS de 5,4, decorrente de sanitização insuficiente de conteúdo HTML em ficheiros de calendário ICS — foi explorada como dia-zero. Esta vulnerabilidade, entretanto corrigida, foi ativamente explorada em 2025 em ataques dirigidos às Forças Armadas brasileiras, onde agentes de ameaça utilizaram ficheiros de calendário ICS para executar JavaScript malicioso dentro das sessões de utilizador. De acordo com um relatório publicado pela StrikeReady Labs em 30 de setembro de 2025, a atividade observada envolveu atores desconhecidos a fazer-se passar pelo Gabinete de Protocolo da Marinha da Líbia para atacar militares brasileiros através de ficheiros ICS maliciosos.
O grupo russo Winter Vivern também utilizou exploits de XSS refletido para comprometer portais de webmail Zimbra de governos alinhados com a NATO e as caixas de correio de funcionários governamentais, militares e diplomatas. O padrão é consistente: vulnerabilidades XSS no Zimbra são repetidamente instrumentalizadas por atores estatais em operações de espionagem e recolha de informação.
Mecânica do ataque: simples, silencioso e persistente
As vulnerabilidades de XSS armazenado no Zimbra partilham uma característica técnica que as torna particularmente perigosas no contexto de comunicações empresariais. Ao contrário de ataques de XSS refletido que requerem interação do utilizador, as vulnerabilidades de XSS armazenado são especialmente perigosas porque o payload malicioso persiste no servidor e é executado automaticamente quando os utilizadores acedem ao conteúdo comprometido. Uma vez executado o código JavaScript no contexto da sessão autenticada da vítima, os atacantes podem potencialmente roubar cookies de sessão, recolher credenciais sensíveis, manipular conteúdo de correio eletrónico ou realizar ações não autorizadas em nome de utilizadores legítimos.
No caso específico da CVE-2025-27915, a técnica documentada demonstra a criatividade dos atacantes: o atacante explora o elemento HTML5 <details> combinado com o handler de evento ontoggle para desencadear execução de JavaScript quando o estado do elemento muda. O ficheiro ICS continha código JavaScript concebido para atuar como um ladrão de dados abrangente, exfiltrando credenciais, e-mails, contactos e pastas partilhadas para um servidor externo, além de adicionar regras maliciosas de filtragem de e-mail para reencaminhar mensagens.
O que fazer: corretivos e medidas de mitigação
A Synacor lançou patches de segurança em junho de 2025. Para a CVE-2025-48700, os administradores devem atualizar de imediato para as versões corrigidas disponíveis. Para a CVE-2025-27915, os utilizadores são instados a atualizar para as versões 9.0.0 Patch 46, 10.0.15 ou 10.1.9. É igualmente relevante notar que a versão Zimbra 10.0 atingiu o fim de vida oficial a 31 de dezembro de 2025, pelo que organizações ainda a operar nessa linha de versão devem planear uma migração imediata para o Zimbra 10.1 para manter a conformidade de segurança.
Além da aplicação dos patches, as boas práticas incluem: bloquear ou colocar em quarentena e-mails que contenham anexos de ficheiros ICS no gateway de correio eletrónico até à conclusão da atualização; desativar o Classic Web Client e forçar a utilização do Modern Web Client; e implementar cabeçalhos de Content Security Policy (CSP) para restringir a execução de scripts inline sempre que possível. Os administradores devem também rever os filtros de e-mail em busca de modificações não autorizadas ou regras de reencaminhamento, e inspecionar os repositórios de mensagens em busca de ficheiros ICS contendo scripts suspeitos codificados em Base64.
Porque é que isto importa
Em Portugal, o Zimbra é utilizado por diversas organizações públicas e privadas como plataforma de comunicação. A exploração ativa destas vulnerabilidades por grupos APT com motivações de espionagem é diretamente relevante no contexto do Regime Jurídico da Cibersegurança e do Decreto-Lei 125/2025, que transpõe a Diretiva NIS2 para o ordenamento jurídico nacional. A NIS2 impõe obrigações explícitas de gestão de risco e de aplicação atempada de corretivos de segurança a operadores de serviços essenciais e a entidades importantes — o que inclui serviços de correio eletrónico e infraestruturas de comunicação. A omissão na aplicação de patches disponíveis há meses, como documenta o número alarmante de servidores ainda expostos, pode constituir incumprimento das obrigações legais e expor as organizações a sanções, para além do risco operacional e reputacional associado a uma eventual violação de dados pessoais ao abrigo do RGPD. O Centro Nacional de Cibersegurança (CNCS) acompanha regularmente vulnerabilidades críticas em infraestruturas de e-mail. As organizações portuguesas que utilizem Zimbra devem verificar urgentemente a versão instalada e aplicar os corretivos disponibilizados pelo fabricante.
Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pela CISA, pela Synacor/Zimbra, pela Shadowserver Foundation, pela StrikeReady Labs e pela Seqrite Labs.
