A Zimbra lançou atualizações de software para corrigir falhas de segurança críticas em seu software de Colaboração, que se exploradas com sucesso, poderiam resultar na divulgação de informações sob certas condições.
A vulnerabilidade, monitorada como
CVE-2025-25064
, recebeu um score CVSS de 9,8 de um máximo de 10,0.
Foi descrita como um bug de injeção de SQL no endpoint SOAP do ZimbraSync Service, afetando as versões anteriores à 10.0.12 e 10.1.4.
Originada de uma falta de sanitização adequada de um parâmetro fornecido pelo usuário, a deficiência poderia ser armada por atacantes autenticados para injetar consultas SQL arbitrárias que poderiam recuperar metadados de e-mail por "manipulando um parâmetro específico na solicitação."
A Zimbra também declarou que abordou outra vulnerabilidade crítica relacionada ao cross-site scripting (XSS) armazenado no Zimbra Classic Web Client.
A falha ainda não recebeu um identificador CVE.
“A correção fortalece a sanitização de entrada e melhora a segurança”, disse a empresa em um comunicado, adicionando que o problema foi resolvido nas versões 9.0.0 Patch 44, 10.0.13 e 10.1.5.
Outra vulnerabilidade abordada pela Zimbra é a
CVE-2025-25065
(pontuação CVSS: 5.3), uma falha de severidade média de Server-Side Request Forgery (SSRF) no componente de análise de feeds RSS que permite o redirecionamento não autorizado para pontos finais da rede interna.
O defeito de segurança foi corrigido nas versões 9.0.0 Patch 43, 10.0.12 e 10.1.4.
Os clientes são aconselhados a atualizar para as versões mais recentes do Zimbra Collaboration para proteção otimizada.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...