[TLP:CLEAR] Zimbra Collaboration opravuje 2 zranitelnosti
Zimbra verzemi 9.0.0 Patch 43, 10.0.12 a 10.1.4 opravuje 2 zranitelnosti v produktu Zimbra Collaboration [1][2].
Neautentizovanému vzdálenému útočníkovi je prostřednictvím nedostatečné sanitizace uživatelem dodaného parametru v SOAP endpointu ZimbraSync Service umožněno manipulovat s tímto parametrem za účelem injektování libovolných SQL dotazů, což může vést k získání metadat e-mailů [1].
Zranitelnost se nachází v produktu Zimbra Collaboration ve verzích (>=10.0.0 AND <10.0.12) OR (>=10.1.0 AND <10.1.4).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-25064 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 3. 2. 2025.
Neautentizovanému vzdálenému útočníkovi je prostřednictvím zranitelnosti v parseru RSS kanálů umožněno neautorizované přesměrování na interní síťové endpointy [2].
Zranitelnost se nachází v produktu Zimbra Collaboration ve verzích (=9.0.0beforePatch43) OR (>=10.0.0 AND <10.0.12) OR (>=10.1.0 AND <10.1.4).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Více informací:
- CVE-2025-25065 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-918: Server-Side Request Forgery (SSRF) at cwe.mitre.org
Zranitelnost byla veřejně oznámena 3. 2. 2025.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 11. 2. 2025.
