Zimbra Collaboration ha identificado dos vulnerabilidades que comprometen la seguridad de sus sistemas. Estas fallas permiten a atacantes ejecutar ataques de inyección SQL y explotar vulnerabilidades SSRF (Server-Side Request Forgery) para acceder a recursos internos no autorizados.
- CVE-2025-25064 (CVSS N/A): Una vulnerabilidad de inyección SQL en el endpoint SOAP ZimbraSyncService, permite que un atacante manipule consultas SQL para acceder, modificar o eliminar datos sensibles de la base de datos.
- CVE-2025-25065 (CVSS N/A): Una vulnerabilidad SSRF en el analizador de feeds RSS permite a atacantes redirigir solicitudes a endpoints internos de la red. Esta explotación podría exponer servicios internos o información confidencial.
| CVE | Versión Afectada | Solución |
| CVE-2025-25064 | Desde la 10.0.x hasta antes de la 10.0.12 | Actualizar a la versión 10.0.12 o superior |
| Desde la 10.1.x hasta antes de la 10.1.4 | Actualizar a la versión 10.1.4 o superior | |
| CVE-2025-25065 | Desde la 9.0.0 hasta antes del Patch 43 | Actualizar a la versión 9.0.0 Patch 43 o superior |
| Desde la 10.0.x hasta antes de la 10.0.12 | Actualizar a la versión 10.0.12 o superior | |
| Desde la 10.1.x hasta antes de la 10.1.4 | Actualizar a la versión 10.1.4 o superior |
Recomendaciones:
- Actualizar Zimbra Collaboration a las versiones corregidas para mitigar ambas vulnerabilidades.
- Restringir el acceso a endpoints SOAP mediante políticas de firewall y autenticación reforzada.
- Monitorear solicitudes RSS para detectar intentos de explotación de SSRF en tiempo real.
Referencias: