La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) ha emitido una alerta respecto a una vulnerabilidad de día cero en Zimbra Collaboration Suite (ZCS) que está siendo explotada activamente en campañas dirigidas. El fallo, identificado como CVE-2025-27915, afecta a las versiones 10.1.9, 10.0.15 y 9.0.0 Patch 46 del sistema de colaboración empresarial.
El origen del problema radica en el cliente web clásico de Zimbra, específicamente en el manejo inseguro de archivos ICS (formato utilizado para calendarios electrónicos). Esta deficiencia permite que un actor malicioso inserte código JavaScript dentro de una invitación de calendario manipulada, logrando su ejecución automática al ser visualizada por el usuario. El ataque explota el evento ontoggle de la etiqueta HTML <details>, una función legítima del navegador que, en este contexto, se convierte en un vector de ejecución de código dentro de la sesión autenticada del usuario afectado.
Las implicaciones de seguridad son considerables. Una vez comprometida la sesión, el atacante puede realizar acciones no autorizadas, como modificar configuraciones de la cuenta, crear filtros de correo que redirigen mensajes hacia direcciones externas o interceptar comunicaciones internas, facilitando actividades de espionaje y exfiltración de datos. Aunque la vulnerabilidad presenta una calificación CVSS de 5.4 (riesgo medio), la simplicidad de su explotación y la mínima interacción requerida por parte del usuario la convierten en una amenaza de alta criticidad operativa.
La CISA ha establecido el 28 de octubre de 2025 como fecha límite para la aplicación de parches en agencias federales. Hasta la publicación de una actualización oficial, se recomienda implementar las medidas de mitigación proporcionadas por el fabricante, fortalecer los controles de seguridad en servidores de correo para el manejo de archivos ICS y capacitar a los usuarios en la detección de invitaciones de calendario anómalas o sospechosas.
La combinación de explotación activa, baja complejidad técnica y potencial de impacto operativo convierte a CVE-2025-27915 en una vulnerabilidad que requiere atención prioritaria por parte de los equipos de seguridad, respuesta a incidentes y operaciones TI.
Fuente: unaaldia[.]hispasec[.]com
