想象一下這個場景:你打開郵箱,點開一封看起來普通的郵件,沒有點擊任何鏈接,也沒有下載任何附件——就在你看到郵件內容的那一瞬間,攻擊者已經拿到了你郵箱的控制權。
這不是什么黑客電影的情節。協作平臺Zimbra剛剛修補的漏洞,就讓這種攻擊成為可能。Synacor公司發布了Zimbra“Daffodil”10.1.19版本,其中修復了一個存儲在經典網頁客戶端中的跨站腳本漏洞。這個漏洞的攻擊方式簡單到令人不安:攻擊者只需發送一封經過特殊構造的郵件,當用戶使用Zimbra經典網頁客戶端打開這封郵件時,惡意代碼就會自動執行。
![]()
Zimbra官方將這個漏洞的部署風險評估為“低”,但這并不意味著用戶可以掉以輕心。一旦攻擊成功,用戶的會話數據、郵箱信息、賬戶設置都可能面臨泄露風險。換句話說,攻擊者拿到的不只是一封郵件的內容,而是你整個郵箱的訪問權限。
要理解這個漏洞為什么危險,得先搞清楚什么是“存儲型跨站腳本”。普通的跨站腳本漏洞,攻擊者通常需要誘導用戶點擊某個鏈接,惡意腳本才會在瀏覽器中執行。但存儲型跨站腳本不同——惡意代碼被永久保存在服務器上,任何一個訪問了被污染頁面的用戶都會中招。在Zimbra這個案例里,攻擊者把惡意腳本藏在郵件中,服務器把郵件存儲下來,等用戶打開郵件時,腳本就從服務器端被加載到用戶的瀏覽器里執行。你不需要點任何東西,打開就中招。
Zimbra的官方安全指引明確要求,所有使用經典網頁客戶端的用戶都應該立即將相關組件更新到最新版本。對于那些使用了自定義簡單網絡管理協議防護措施的用戶,官方也給出了額外的配置建議。有意思的是,這個跨站腳本漏洞到目前為止還沒有被分配通用漏洞披露編號。但這并不代表它不危險。
把時間線拉長來看,攻擊者對Zimbra的跨站腳本漏洞的興趣已經持續了將近五年。2025年10月,經典網頁客戶端中的另一個持久型跨站腳本漏洞被曝出在零日攻擊中被利用,攻擊目標直指巴西軍方人員。2025年5月和2023年,Zimbra的平臺也先后遭到過基于跨站腳本漏洞的攻擊。
這再次說明,Zimbra不是第一次因為這類漏洞被盯上,攻擊者顯然很清楚這個平臺的價值——以及它的弱點。
Zimbra這家公司的經歷本身也挺有意思。這個協作平臺以各種形式存在了二十多年,期間幾經易手:2007年被雅虎收購,三年后賣給VMware,2015年最終被位于紐約州布法羅的服務公司Synacor收入囊中。Zimbra提供協作工具、郵件服務器和網頁客戶端,既有開源版本也有商業支持版本。不過需要注意一個變化:最新的Zimbra產品開源版本已經不再提供官方的免費二進制構建包了。
對于正在使用Zimbra經典網頁客戶端的用戶來說,現在要做的事情很簡單:檢查版本號,如果低于10.1.19,立刻升級。這不是那種“也許會有問題”的安全警告,而是“攻擊者已經知道怎么利用這個漏洞”的明確信號。畢竟,五年里反復被同一類漏洞攻擊的記錄擺在那里,這次補上的漏洞,說不定早就有人在嘗試利用了。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.