В программном обеспечении Zimbra Collaboration обнаружены серьезные уязвимости безопасности, которые могут поставить под угрозу конфиденциальность корпоративных данных. Разработчики выпустили экстренные обновления для устранения трех критических брешей в системе.
Наиболее опасной является уязвимость SQL-инъекции (CVE-2025-25064) с критическим показателем CVSS 9.8. Она затрагивает компонент ZimbraSync Service SOAP endpoint в версиях до 10.0.12 и 10.1.4. Злоумышленники, имеющие учетные данные, могут использовать специально сформированные запросы для извлечения метаданных электронной почты через внедрение произвольных SQL-запросов.
Вторая уязвимость связана с возможностью межсайтового скриптинга (XSS) в классическом веб-клиенте Zimbra. Хотя CVE пока не присвоен, проблема требует немедленного внимания. Разработчики усилили санитизацию входных данных и внедрили дополнительные механизмы защиты в версиях 9.0.0 Patch 44, 10.0.13 и 10.1.5.
Третья уязвимость (CVE-2025-25065) позволяет осуществлять подделку межсайтовых запросов (SSRF) через парсер RSS-лент. С показателем CVSS 5.3 она классифицируется как угроза среднего уровня. Эксплуатация этой бреши может привести к несанкционированному перенаправлению на внутренние сетевые конечные точки.
Для защиты от этих угроз администраторам рекомендуется обновить Zimbra Collaboration до следующих версий: 9.0.0 Patch 43 или новее, 10.0.12 или новее, либо 10.1.4 или новее – в зависимости от используемой ветки продукта.
Обновления безопасности затрагивают все поддерживаемые версии Zimbra Collaboration и направлены на предотвращение возможной утечки конфиденциальной информации. Рекомендуется провести обновление систем в кратчайшие сроки для минимизации рисков безопасности.
Выпущенные патчи являются критически важными для обеспечения безопасности корпоративных коммуникаций и защиты от потенциальных атак с использованием обнаруженных уязвимостей. Промедление с установкой обновлений может привести к компрометации систем и утечке данных.
Изображение носит иллюстративный характер
Наиболее опасной является уязвимость SQL-инъекции (CVE-2025-25064) с критическим показателем CVSS 9.8. Она затрагивает компонент ZimbraSync Service SOAP endpoint в версиях до 10.0.12 и 10.1.4. Злоумышленники, имеющие учетные данные, могут использовать специально сформированные запросы для извлечения метаданных электронной почты через внедрение произвольных SQL-запросов.
Вторая уязвимость связана с возможностью межсайтового скриптинга (XSS) в классическом веб-клиенте Zimbra. Хотя CVE пока не присвоен, проблема требует немедленного внимания. Разработчики усилили санитизацию входных данных и внедрили дополнительные механизмы защиты в версиях 9.0.0 Patch 44, 10.0.13 и 10.1.5.
Третья уязвимость (CVE-2025-25065) позволяет осуществлять подделку межсайтовых запросов (SSRF) через парсер RSS-лент. С показателем CVSS 5.3 она классифицируется как угроза среднего уровня. Эксплуатация этой бреши может привести к несанкционированному перенаправлению на внутренние сетевые конечные точки.
Для защиты от этих угроз администраторам рекомендуется обновить Zimbra Collaboration до следующих версий: 9.0.0 Patch 43 или новее, 10.0.12 или новее, либо 10.1.4 или новее – в зависимости от используемой ветки продукта.
Обновления безопасности затрагивают все поддерживаемые версии Zimbra Collaboration и направлены на предотвращение возможной утечки конфиденциальной информации. Рекомендуется провести обновление систем в кратчайшие сроки для минимизации рисков безопасности.
Выпущенные патчи являются критически важными для обеспечения безопасности корпоративных коммуникаций и защиты от потенциальных атак с использованием обнаруженных уязвимостей. Промедление с установкой обновлений может привести к компрометации систем и утечке данных.
