Kritické zraniteľnosti Zimbra Collaboration

V produkte Zimbra Collaboration boli opravené dve kritické a jedna stredne závažná zraniteľnosť. Tieto umožňujú útočníkom získať metadáta e-mailov alebo presmerovanie na koncové body v rámci vnútornej siete.

Zraniteľné systémy:

• Zimbra Collaboration staršie ako 10.0.12 a 10.1.4

Opis činnosti:

CVE-2025-25064 (CVSS skóre 9,8)

Kritická zraniteľnosť v ZimbraSync Service SOAP súvisí s nedostatočnou sanitizáciou používateľských vstupov v nešpecifikovanom parametri. Umožňuje vykonávať útoky typu SQL injection a získať metadáta e-mailov.

CVE-2025-25065 (CVSS skóre 5,3)

V parsovacom nástroji RSS sa nachádza zraniteľnosť umožňujúca útoky typu SSRF a presmerovanie na koncové body vo vnútornej sieti.

Okrem toho Zimbra opravila kritickú zraniteľnosť v Classic Web Client, ktorá umožňuje vykonanie perzistentného XSS útoku. Zraniteľnosť je zatiaľ bez onačenia.

Možné škody:

• Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia Zimbra Collaboration na verziu 9.0.0 Patch 44, 10.0.13, alebo 10.1.5.

Odkazy:

• https://thehackernews.com/2025/02/zimbra-releases-security-updates-for.html
• https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories