Zimbra, işbirliği yazılımındaki kritik güvenlik kusurlarını ele almak için yazılım güncellemeleri yayınladı ve başarılı bir şekilde kullanılırsa, belirli koşullar altında bilgi açıklamasına neden olabilir.
Güvenlik açığı, CVE-2025-25064maksimum 10.0 üzerinden 9,8 CVSS puanı taşır. Zimbrasync hizmeti sabun uç noktasında 10.0.12 ve 10.1.4’ten önceki sürümleri etkileyen bir SQL enjeksiyon hatası olarak tanımlanmıştır.
Kullanıcı tarafından sağlanan bir parametrenin yeterli dezenfekte olmamasından kaynaklanan eksiklik, eksik saldırganlar tarafından “istekte belirli bir parametreyi manipüle ederek” e-posta meta verilerini alabilecek keyfi SQL sorguları enjekte etmek için silahlandırılabilir.
Zimbra ayrıca, Zimbra Classic Web istemcisindeki depolanmış siteler arası komut dosyası (XSS) ile ilgili başka bir kritik güvenlik açığına değindiğini söyledi. Kusura henüz bir CVE tanımlayıcısı atanmadı.
“Düzeltme, giriş dezenfektanını güçlendirir ve güvenliği artırır” söz konusu Bir danışmanlıkta, sorunu eklemek 9.0.0 Yama 44, 10.0.13 ve 10.1.5 sürümlerinde düzeltildi.
Zimbra tarafından ele alınan bir başka güvenlik açığı CVE-2025-25065 (CVSS Puanı: 5.3), RSS Besleme Ayrıştırıcı bileşeninde, dahili ağ uç noktalarına yetkisiz yeniden yönlendirmeye izin veren orta şiddetli bir sunucu tarafı istek ambalajı (SSRF) kusuru.
Güvenlik hatası 9.0.0 Yama 43, 10.0.12 ve 10.1.4 sürümlerinde yamalanmıştır. Müşterilere Optimal Koruma için Zimbra İşbirliği’nin en son sürümlerini güncellemeleri önerilir.
