A Zimbra lançou atualizações de software para corrigir falhas de segurança críticas em seu software de Colaboração, que se exploradas com sucesso, poderiam resultar na divulgação de informações sob certas condições.
A vulnerabilidade, monitorada como
CVE-2025-25064
, recebeu um score CVSS de 9,8 de um máximo de 10,0.
Foi descrita como um bug de injeção de SQL no endpoint SOAP do ZimbraSync Service, afetando as versões anteriores à 10.0.12 e 10.1.4.
Originada de uma falta de sanitização adequada de um parâmetro fornecido pelo usuário, a deficiência poderia ser armada por atacantes autenticados para injetar consultas SQL arbitrárias que poderiam recuperar metadados de e-mail por "manipulando um parâmetro específico na solicitação."
A Zimbra também declarou que abordou outra vulnerabilidade crítica relacionada ao cross-site scripting (XSS) armazenado no Zimbra Classic Web Client.
A falha ainda não recebeu um identificador CVE.
“A correção fortalece a sanitização de entrada e melhora a segurança”, disse a empresa em um comunicado, adicionando que o problema foi resolvido nas versões 9.0.0 Patch 44, 10.0.13 e 10.1.5.
Outra vulnerabilidade abordada pela Zimbra é a
CVE-2025-25065
(pontuação CVSS: 5.3), uma falha de severidade média de Server-Side Request Forgery (SSRF) no componente de análise de feeds RSS que permite o redirecionamento não autorizado para pontos finais da rede interna.
O defeito de segurança foi corrigido nas versões 9.0.0 Patch 43, 10.0.12 e 10.1.4.
Os clientes são aconselhados a atualizar para as versões mais recentes do Zimbra Collaboration para proteção otimizada.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...