[TLP:CLEAR] Zimbra Collaboration opravuje 2 zranitelnosti

Zimbra verzemi 9.0.0 Patch 43, 10.0.12 a 10.1.4 opravuje 2 zranitelnosti v produktu Zimbra Collaboration [1][2].

Zimbra Collaboration - SQL injection (CVE-2025-25064) CVSS 9.8 (Critical)

Neautentizovanému vzdálenému útočníkovi je prostřednictvím nedostatečné sanitizace uživatelem dodaného parametru v SOAP endpointu ZimbraSync Service umožněno manipulovat s tímto parametrem za účelem injektování libovolných SQL dotazů, což může vést k získání metadat e-mailů [1].

Zranitelnost se nachází v produktu Zimbra Collaboration ve verzích (>=10.0.0 AND <10.0.12) OR (>=10.1.0 AND <10.1.4).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 3. 2. 2025.

Zimbra Collaboration - server-side request forgery (CVE-2025-25065) CVSS 5.3 (Medium)

Neautentizovanému vzdálenému útočníkovi je prostřednictvím zranitelnosti v parseru RSS kanálů umožněno neautorizované přesměrování na interní síťové endpointy [2].

Zranitelnost se nachází v produktu Zimbra Collaboration ve verzích (=9.0.0beforePatch43) OR (>=10.0.0 AND <10.0.12) OR (>=10.1.0 AND <10.1.4).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Více informací:

Zranitelnost byla veřejně oznámena 3. 2. 2025.


Za CESNET-CERTS Michaela Jarošová dne 11. 2. 2025.

CESNET CERTS Logo