Zimbra ha publicado actualizaciones de software para abordar fallas de seguridad cr\u00edticas en su software de colaboraci\u00f3n que, si se explotan con \u00e9xito, podr\u00edan dar lugar a la divulgaci\u00f3n de informaci\u00f3n bajo ciertas condiciones.<\/p>\n
La vulnerabilidad, rastreada como CVE-2025-25064<\/a>lleva una puntuaci\u00f3n CVSS de 9.8 de un m\u00e1ximo de 10.0. Se ha descrito como un error de inyecci\u00f3n SQL en el punto final de SOAP Zimbrasync Service que afecta las versiones antes de 10.0.12 y 10.1.4.<\/p>\n Derivado de la falta de desinfectaci\u00f3n adecuada de un par\u00e1metro suministrado por el usuario, los atacantes autenticados pueden ser armados para inyectar consultas SQL arbitrarias que podr\u00edan recuperar metadatos de correo electr\u00f3nico “manipulando un par\u00e1metro espec\u00edfico en la solicitud”.<\/p>\n Zimbra tambi\u00e9n dijo que abord\u00f3 otra vulnerabilidad cr\u00edtica relacionada con las secuencias de comandos de sitios cruzados (XSS) almacenados en el cliente web Zimbra Classic. La falla a\u00fan no se ha asignado un identificador CVE.<\/p>\n “La soluci\u00f3n fortalece la desinfecci\u00f3n de entrada y mejora la seguridad”, la compa\u00f1\u00eda dicho<\/a> En un aviso, agregar el problema se ha solucionado en las versiones 9.0.0 Patch 44, 10.0.13 y 10.1.5.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Zimbra-libera-actualizaciones-de-seguridad-para-inyeccion-SQL-XSS-almacenada.png\")
<\/a><\/center><\/div>\n