Zimbra ha publicado actualizaciones de software para abordar fallas de seguridad críticas en su software de colaboración que, si se explotan con éxito, podrían dar lugar a la divulgación de información bajo ciertas condiciones.
La vulnerabilidad, rastreada como CVE-2025-25064lleva una puntuación CVSS de 9.8 de un máximo de 10.0. Se ha descrito como un error de inyección SQL en el punto final de SOAP Zimbrasync Service que afecta las versiones antes de 10.0.12 y 10.1.4.
Derivado de la falta de desinfectación adecuada de un parámetro suministrado por el usuario, los atacantes autenticados pueden ser armados para inyectar consultas SQL arbitrarias que podrían recuperar metadatos de correo electrónico “manipulando un parámetro específico en la solicitud”.
Zimbra también dijo que abordó otra vulnerabilidad crítica relacionada con las secuencias de comandos de sitios cruzados (XSS) almacenados en el cliente web Zimbra Classic. La falla aún no se ha asignado un identificador CVE.
“La solución fortalece la desinfección de entrada y mejora la seguridad”, la compañía dicho En un aviso, agregar el problema se ha solucionado en las versiones 9.0.0 Patch 44, 10.0.13 y 10.1.5.
Otra vulnerabilidad abordada por Zimbra es CVE-2025-25065 (Puntuación CVSS: 5.3), un defecto de falsificación de solicitud del lado del servidor de severidad media (SSRF) en el componente del analizador RSS Feed que permite la redirección no autorizada a los puntos finales internos de la red.
El defecto de seguridad se ha parcheado en las versiones 9.0.0 Patch 43, 10.0.12 y 10.1.4. Se recomienda a los clientes que actualicen las últimas versiones de la colaboración de Zimbra para una protección óptima.
About the Author
