Por Mid 
Una vulnerabilidad Zero-Day pone en riesgo a Zimbra: CVE-2025-27915
Tiempo estimado de lectura: 3 minutos
Dificultad técnica: Media
Conclusiones clave
- Vulnerabilidad crítica CVE-2025-27915 en Zimbra Collaboration Suite afecta sus versiones 10.1.9, 10.0.15 y 9.0.0 Patch 46.
- Permite a atacantes ejecutar código JavaScript malicioso a través de archivos ICS en invitaciones.
- Consecuencias gravísimas incluyen filtración de información y espionaje de comunicaciones internas.
- CISA establece fecha límite del 28 de octubre de 2025 para la implementación de soluciones correctivas.
- Se recomienda aplicar mitigaciones y educar a los usuarios sobre invitaciones sospechosas.
Índice
Descripción de la vulnerabilidad
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) ha emitido una advertencia sobre una vulnerabilidad de día cero en Zimbra Collaboration Suite (ZCS), que está siendo aprovechada en ataques dirigidos. Esta vulnerabilidad, identificada como CVE-2025-27915, afecta a las versiones 10.1.9, 10.0.15 y 9.0.0 Patch 46 de la plataforma.
El punto crítico de esta vulnerabilidad radica en el cliente web clásico de Zimbra, donde los archivos de calendario en formato ICS no son manejados de forma segura. Esto permite a un atacante insertar código JavaScript en una invitación maliciosa, el cual puede ejecutarse automáticamente al abrir el mensaje por parte del usuario. El ataque se fundamenta en un evento ontoggle asociado con la etiqueta <details>, una función del navegador que, en este contexto, se convierte en un vector para ejecutar código dentro de la sesión del usuario comprometido.
Consecuencias del ataque
Las consecuencias de este fallo son severas: al acceder al contexto del usuario, el atacante tiene la capacidad de llevar a cabo acciones no autorizadas, como la creación de filtros de correo que pueden redirigir mensajes a direcciones externas, facilitando así la fuga de información y el espionaje de las comunicaciones internas. Aunque se ha asignado una calificación CVSS de 5.4 (medio) a esta vulnerabilidad, la facilidad con la que puede ser explotada la convierte en un riesgo significativo.
Mitigaciones recomendadas
La CISA ha establecido el 28 de octubre de 2025 como la fecha límite para que las agencias federales implementen soluciones correctivas. Mientras tanto, se aconseja a las organizaciones aplicar las mitigaciones sugeridas por el fabricante, fortalecer las defensas de los servidores de correo contra archivos ICS y educar a los usuarios sobre la identificación de invitaciones sospechosas.
Dada la explotación activa y el bajo nivel de interacción que requiere este vector de ataque, la vulnerabilidad representa una amenaza crítica que debe ser atendida de inmediato por los encargados de la seguridad y la operación.
Referencias
- CISA – Agencia de Ciberseguridad y Seguridad de las Infraestructuras
- NIST – Instituto Nacional de Estándares y Tecnología
- Zimbra – Página oficial