الثغرات ›

CVE-2025-66376

حرج 🇺🇸 CISA KEV

ثغرة Cross-Site Scripting في Synacor Zimbra Collaboration Suite عبر توجيهات CSS @import

                    نُشر: Mar 18, 2026                                          ·  المصدر: CISA_KEV                

CVSS v3

9.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Synacor Zimbra Collaboration Suite (ZCS) — CVE-2025-66376
Synacor Zimbra Collaboration Suite (ZCS) contains a cross-site scripting vulnerability in the Classic UI where attackers could abuse Cascading Style Sheets (CSS) @import directives in email HTML.

Required Action: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

🤖 ملخص AI

Synacor Zimbra Collaboration Suite contains a critical cross-site scripting vulnerability in the Classic UI that allows attackers to exploit CSS @import directives in email HTML. This vulnerability could enable unauthorized access to sensitive data and compromise email security for affected organizations.

📄 الوصف (العربية)

تحتوي مجموعة Zimbra Collaboration Suite على ثغرة XSS حرجة في واجهة المستخدم الكلاسيكية حيث يمكن للمهاجمين استغلال توجيهات CSS @import المضمنة في HTML البريد الإلكتروني. يمكن لهذه الثغرة أن تؤدي إلى تنفيذ كود ضار وسرقة بيانات المستخدمين والجلسات الحساسة. يتطلب تطبيق التصحيحات الفورية أو إيقاف استخدام المنتج إذا لم تكن التصحيحات متاحة.

🤖 ملخص تنفيذي (AI)

Synacor Zimbra Collaboration Suite يحتوي على ثغرة حرجة في البرامج النصية عبر المواقع في واجهة المستخدم الكلاسيكية تسمح للمهاجمين باستغلال توجيهات CSS @import في HTML البريد الإلكتروني. قد تمكن هذه الثغرة الوصول غير المصرح به إلى البيانات الحساسة والتسبب في اختراق أمان البريد الإلكتروني.

🤖 التحليل الذكي آخر تحليل: Apr 12, 2026 06:00

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking telecom healthcare energy

🎯 تقنيات MITRE ATT&CK

T1190 T1566.002 T1598.003 T1598.004

⚖️ درجة المخاطر السعودية (AI)

10.0

/ 10.0

🔧 Remediation Steps (English)

Apply vendor-provided security patches immediately. Implement input validation and output encoding for email HTML content. Disable or restrict CSS @import functionality in email processing. Monitor email traffic for suspicious CSS directives. Consider upgrading to patched versions or discontinuing use if patches are unavailable. Implement Web Application Firewall rules to block malicious CSS patterns.

🔧 خطوات المعالجة (العربية)

طبق تصحيحات الأمان المقدمة من المورد فوراً. نفذ التحقق من صحة المدخلات وترميز المخرجات لمحتوى HTML البريد الإلكتروني. عطل أو قيد وظيفة CSS @import في معالجة البريد الإلكتروني. راقب حركة البريد الإلكتروني للكشف عن توجيهات CSS المريبة. فكر في الترقية إلى إصدارات معدلة أو التوقف عن الاستخدام إذا لم تكن التصحيحات متاحة. نفذ قواعد جدار الحماية لتطبيقات الويب لحجب أنماط CSS الضارة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.1.1 A.2.1 A.3.1 A.5.1

🔵 SAMA CSF

ID.RA-1 PR.DS-1 PR.DS-5 DE.CM-1

🟡 ISO 27001:2022

A.6.1.1 A.12.2.1 A.13.1.1 A.14.2.1

🔗 المراجع والمصادر 0

لا توجد مراجع.

📊 CVSS Score

9.8

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.8

اختراق متاح لا

تصحيح متاح ✗ لا

CISA KEV🇺🇸 Yes

تاريخ النشر 2026-03-18

المصدر cisa_kev

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

10.0

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

kev cisa exploit-known

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2025-66376

عرّفنا بنفسك

تسجيل الدخول مطلوب