Zimbra Collaboration 是一款广泛使用的开源电子邮件与协作平台。现已发现该平台存在两个新的安全漏洞,这对依赖此软件进行电子邮件、日历、文件共享及任务管理的企业构成严重风险。这些漏洞编号为 CVE – 2025 – 25064 和 CVE – 2025 – 25065,攻击者利用它们可获取对敏感数据和内部网络资源的未授权访问。
CVE – 2025 – 25064(通用漏洞评分系统(CVSS)评分 9.8)是一个严重的 SQL 注入漏洞,影响 Zimbra Collaboration 10.0.x 版本(10.0.12 之前)以及 10.1.x 版本(10.1.4 之前)。此漏洞源于 ZimbraSync 服务 SOAP 端点中对用户提供参数的清理不足。已认证的攻击者可通过操纵该参数注入任意 SQL 查询,从而有可能获取电子邮件元数据。
CVE – 2025 – 25065(CVSS 评分 5.3)是一个中等严重程度的服务器端请求伪造(SSRF)漏洞,影响 Zimbra Collaboration 9.0.0 版本(补丁 43 之前)、10.0.x 版本(10.0.12 之前)以及 10.1.x 版本(10.1.4 之前)。该漏洞存在于 RSS feed 解析器中,可导致未经授权的重定向到内部网络端点。
Zimbra Collaboration 一直是网络犯罪分子的常见攻击目标,已有多个严重漏洞在实际环境中被利用。
例如,去年 10 月,黑客利用了 CVE – 2024 – 45519,这是 Zimbra 的 postjournal 服务中的一个远程代码执行(RCE)漏洞。该漏洞使攻击者能够发送精心构造的电子邮件,在抄送(CC)字段中包含恶意命令,当 postjournal 服务处理该邮件时,这些命令就会被执行。
Zimbra 已发布针对 CVE – 2025 – 25064 和 CVE – 2025 – 25065 的补丁,强烈敦促用户立即更新其系统。
发表评论
您还未登录,请先登录。
登录