CVE-2025-66376 : une faille XSS de Zimbra activement exploitée ajoutée au KEV de la CISA
La CISA ajoute CVE-2025-66376 au KEV, une faille XSS affectant Zimbra Collaboration Suite et déjà exploitée activement sur le terrain.
Publié le par Emmanuel LASTRA1 min de lecture
La Cybersecurity and Infrastructure Security Agency (CISA) a inscrit la vulnérabilité CVE-2025-66376 au catalogue des failles activement exploitées (KEV). Cette faille de type cross-site scripting (XSS) affecte Zimbra Collaboration Suite et permet l’injection de code malveillant via des emails HTML exploitant des directives CSS @import dans l’interface classique. Notée 7,2 (élevée), elle touche les versions 10.0 et 10.1 avant correctifs (10.0.18 / 10.1.13). Bien que “classique”, ce type de vulnérabilité est ici confirmé comme exploité en conditions réelles, ce qui en fait une priorité de remédiation pour les organisations exposées.