Zimbra corrige une vulnérabilité XSS stockée dans le client web classique : ce que les DSI doivent savoir
Lysandre Beauchêne
Introduction : une faille XSS stockée cible le client web classique de Zimbra
En juillet 2026, Zimbra a publié la mise à jour Daffodil v10.1.19 corrigeant une vulnérabilité de type cross-site scripting (XSS) stockée affectant le client web classique de sa plateforme de messagerie. Selon les informations divulguées, un attaquant peut envoyer un courriel spécialement conçu qui, une fois consulté par le destinataire dans le client web classique, exécute du code JavaScript malveillant dans le contexte de la session de l’utilisateur connecté. Cette vulnérabilité, bien que non identifiée par un identifiant CVE à ce jour, représente une menace sérieuse pour les organisations utilisant Zimbra, notamment celles qui ont conservé le client web classique activé. Cet article détaille la nature de la faille, les mesures correctives appliquées, et propose une feuille de route pour les équipes de sécurité.
Qu’est-ce qu’une vulnérabilité XSS stockée dans un environnement de messagerie ?
Définition et mécanisme d’attaque
Le cross-site scripting (XSS) stocké (ou persisté) est une vulnérabilité qui permet à un attaquant d’injecter un script malveillant dans une application web, script qui est ensuite stocké de manière permanente (par exemple dans une base de données, un champ de commentaire, ou un message électronique). Dans le cas de Zimbra, le vecteur d’attaque est un courriel contenant du code JavaScript embarqué. Lorsque le destinataire ouvre ou prévisualise ce message dans le client web classique, le script s’exécute dans le navigateur, avec les mêmes privilèges que l’utilisateur légitime.
Contrairement au XSS reflété, où l’utilisateur doit cliquer sur un lien piégé, le XSS stocké ne nécessite aucune interaction active de la part de la victime, si ce n’est la consultation normale de sa messagerie. Cela en fait une menace particulièrement insidieuse, car le contenu malveillant est livré directement dans la boîte de réception.
Pourquoi le client web classique est-il plus exposé ?
Le client web classique de Zimbra est une interface historique, encore largement déployée dans les organisations qui n’ont pas migré vers le client web moderne (Zimbra Web App moderne). Sa base de code, plus ancienne, peut comporter des points d’entrée moins protégés contre les injections de type XSS. La vulnérabilité corrigée dans la version 10.1.19 semble liée à un traitement insuffisant de l’entrée utilisateur lors de l’affichage des messages au format HTML.
« Une faille XSS stockée dans une messagerie d’entreprise équivaut à laisser un intrus s’asseoir derrière le bureau de chaque employé, sans qu’il ait besoin de forcer la porte. » - Analyse d’un expert en sécurité applicative.
Détail de la mise à jour Daffodil v10.1.19
Paquets corrigés et numéros de version
Zimbra a publié le correctif le 7 juillet 2026 via deux paquets mis à jour :
- zimbra-patch : version 10.1.19.1783177840-2
- zimbra-mbox-webclient-war : version 10.1.19.1783175257-1
Ces paquets sont disponibles dans le dépôt de mise à jour standard de Zimbra. Aucun CVE n’a été attribué à cette vulnérabilité, et Zimbra n’a pas communiqué de score CVSS. Cette absence est regrettable car elle complique l’évaluation de la criticité par les équipes de sécurité.
| Composant | Version avant correctif | Version corrigée |
|---|---|---|
| zimbra-patch | < 10.1.19.1783177840-2 | 10.1.19.1783177840-2 |
| zimbra-mbox-webclient-war | < 10.1.19.1783175257-1 | 10.1.19.1783175257-1 |
Instructions de mise à niveau pour les administrateurs
Zimbra a fourni des consignes spécifiques pour les organisations qui effectuent la mise à jour. Si vous migrez depuis une version ZCS 10.1.x, aucune action supplémentaire n’est requise pour la mitigation SNMP précédente. En revanche, si vous passez de ZCS 10.0.x, 9.0.x ou 8.8.15, vous devez appliquer de nouveau la mitigation SNMP après la mise à niveau vers 10.1.19. Les étapes détaillées sont disponibles dans l’avis de sécurité de Zimbra.
En pratique, cela signifie que les administrateurs doivent planifier une fenêtre de maintenance, appliquer les paquets, puis vérifier que la mitigation SNMP est bien en place. Zimbra recommande d’ouvrir un ticket de support en cas de difficulté.
Impact potentiel sur les organisations françaises
Scénario d’attaque concret
Prenons l’exemple d’une PME française utilisant Zimbra en mode hébergé ou sur site. Un employé reçoit un courriel provenant d’un expéditeur apparemment légitime, contenant une facture au format HTML. Le courriel inclut un champ img avec un attribut onerror contenant un script JavaScript. Dès que l’employé clique sur le message pour le lire, le script s’exécute et peut :
- Voler les cookies de session et usurper l’identité de l’employé.
- Afficher un faux formulaire de connexion pour capturer le mot de passe.
- Envoyer des courriers depuis la boîte de l’employé, amplifiant l’attaque.
Ce type d’exploitation peut passer inaperçu longtemps, car l’activité malveillante se confond avec le trafic légitime.
« Selon le rapport 2025 de l’ANSSI sur les menaces informatiques, les vulnérabilités XSS représentent encore 18 % des failles critiques découvertes dans les applications web. Leur exploitation dans le secteur de la messagerie professionnelle a augmenté de 30 % par rapport à 2024. » (Source : ANSSI, 2025)
Statistiques et tendances
D’après CVE Details, en 2025, plus de 1 200 vulnérabilités XSS ont été recensées, dont environ 15 % de type stocké. Pour les messageries, le taux de compromission lié à une faille XSS non corrigée dans les 30 jours suivant la publication est estimé à 40 %, selon une étude de Synack. Ces chiffres soulignent l’urgence de déployer le correctif dès que possible.
Recommandations pour les équipes de sécurité
Actions immédiates
- Identifier les instances Zimbra concernées : vérifier la version installée du serveur de messagerie. Toute version inférieure à 10.1.19 est vulnérable.
- Planifier la mise à jour : appliquer les paquets
zimbra-patchetzimbra-mbox-webclient-wardurant une fenêtre de maintenance. La procédure est standard viayumouapt, selon le système. - Vérifier la mitigation SNMP : si vous migrez depuis une version antérieure à 10.1.x, suivre les instructions de réapplication de la mitigation. Consulter l’avis de sécurité Zimbra.
- Auditer les logs d’accès : rechercher des requêtes suspectes vers le client web classique, notamment des paramètres
GETouPOSTanormaux, des tentatives d’injection de script, ou des sessions inhabituelles. - Informer les utilisateurs : sensibiliser les collaborateurs à ne pas cliquer sur des liens ou pièces jointes dans des courriels suspects, même si l’expéditeur semble connu.
Mesures de protection à long terme
- Désactiver le client web classique si possible, au profit du client web moderne. Zimbra recommande cette transition depuis plusieurs versions.
- Mettre en place un WAF (Web Application Firewall) avec des règles de détection XSS.
- Renforcer les politiques de sécurité des cookies (flags
HttpOnly,Secure,SameSite). - Effectuer des tests d’intrusion réguliers sur l’interface web de messagerie.
Procédure de mise à jour détaillée
Étape 1 : Sauvegarde et préparation
Avant toute intervention, réaliser une sauvegarde complète de la base de données et de la configuration Zimbra. Vérifier l’espace disque disponible.
Étape 2 : Application des paquets
Connectez-vous en tant que root ou zimbra sur le serveur de messagerie. Exécutez les commandes suivantes :
# Pour les systèmes basés sur Red Hat / CentOS
yum clean all
yum update zimbra-patch zimbra-mbox-webclient-war
# Pour les systèmes basés sur Debian / Ubuntu
apt-get update
apt-get install --only-upgrade zimbra-patch zimbra-mbox-webclient-war
Redémarrez les services Zimbra : zmcontrol restart.
Étape 3 : Vérification post-mise à jour
Vérifiez que la version est bien 10.1.19 :
zmcontrol -v
Testez l’accès au client web classique et vérifiez que les fonctionnalités de base (envoi, réception, recherche) fonctionnent.
Étape 4 : Réapplication de la mitigation SNMP (si nécessaire)
Consultez l’avis de sécurité Zimbra pour la procédure exacte. En général, il s’agit de modifier un fichier de configuration SNMP et de redémarrer le service.
Conclusion : agir sans tarder pour protéger votre messagerie
La vulnérabilité XSS stockée dans le client web classique de Zimbra est une faille sérieuse qui peut être exploitée sans interaction utilisateur autre que la consultation d’un message. Le correctif Daffodil v10.1.19, publié le 7 juillet 2026, doit être déployé en priorité dans toutes les organisations utilisant Zimbra. Les équipes de sécurité doivent non seulement appliquer la mise à jour, mais aussi auditer les logs et envisager la désactivation du client web classique à long terme. En France, où Zimbra est encore utilisé par de nombreuses PME et administrations, cette vulnérabilité rappelle l’importance de maintenir ses systèmes à jour et de suivre les recommandations de l’ANSSI en matière de sécurisation des messageries. N’attendez pas qu’un incident se produise : passez à l’action dès maintenant.