2025年2月10日,Zimbra发布了软件更新,修复了其协作软件中的多个关键安全漏洞。如果这些漏洞被成功利用,可能会在某些条件下导致信息泄露。

其中一个漏洞被追踪为CVE-2025-25064,CVSS评分为9.8(满分10.0),是ZimbraSync服务SOAP端点中的SQL注入漏洞,影响10.0.12和10.1.4之前的版本。该漏洞源于对用户提供的参数缺乏足够的清理,攻击者可利用此漏洞注入任意SQL查询,通过“操纵请求中的特定参数”来获取电子邮件元数据。

Zimbra还修复了Zimbra经典Web客户端中的另一个关键漏洞,该漏洞涉及存储型跨站脚本(XSS)。该漏洞尚未分配CVE标识符。Zimbra在安全公告中表示,修复增强了输入清理并提升了安全性,相关问题已在9.0.0补丁44、10.0.13和10.1.5版本中得到解决。

此外,Zimbra还修复了CVE-2025-25065(CVSS评分:5.3),这是一个中等严重性的服务器端请求伪造(SSRF)漏洞,存在于RSS解析组件中,允许未经授权的重定向到内部网络端点。该漏洞已在9.0.0补丁43、10.0.12和10.1.4版本中得到修复。Zimbra建议客户尽快更新到最新版本,以获得最佳保护效果。

本文转自https://hackernews.cc/archives/57285