A Zimbra szoftverfrissítéseket adott ki a Collaboration szoftverében található kritikus biztonsági hibák orvoslására, amelyek sikeres kihasználása esetén bizonyos körülmények között információszivárgást eredményezhetnek.
A sebezhetőség a CVE-2025-25064 azonosítót kapta, és a CVSS (Common Vulnerability Scoring System) szerint 9,8-as pontszámmal rendelkezik a maximális 10.0-ból. Ez egy SQL befecskendezési (SQL injection) hiba, amely a ZimbraSync Service SOAP végpontját érinti a 10.0.12 és 10.1.4 előtti verziókban.
A hiba a felhasználói bemenet nem megfelelő ellenőrzéséből (szanitizációjából) ered, amelyet hitelesített támadók kihasználhatnak tetszőleges SQL lekérdezések injektálására. Ezzel a módszerrel, egy adott paraméter manipulálásával a kérésbe e-mail metaadatokat szerezhetnek meg.
A Zimbra egy másik kritikus sérülékenységet is orvosolt, amely a Zimbra Classic Web Clientben található cross-site scripting (XSS) sebezhetőséghez kapcsolódik. A hibához még nem rendeltek CVE azonosítót.
“A javítás megerősíti a bemeneti szanitizációt és növeli a biztonságot” – áll a vállalat közleményében, hozzátéve, hogy a probléma a 9.0.0 Patch 44, 10.0.13 és 10.1.5 verziókban javították.
A Zimbra a CVE-2025-25065 (CVSS pontszám: 5.3) azonosítójú közepes súlyosságú szerveroldali kéréshamisítási (SSRF) sérülékenységet is javította, amely az RSS feed feldolgozó komponensében található. Ez a biztonsági rés jogosulatlan átirányítást tehet lehetővé a belső hálózati végpontokra.
A biztonsági hibát a 9.0.0 Patch 43, 10.0.12 és 10.1.4 verziókban történt meg. Az ügyfeleknek javasolt a Zimbra Collaboration legújabb verzióira frissíteniük az optimális védelem érdekében.
Forrás: thehackernews.com
