Zimbra بهروزرسانیهای نرمافزاری را برای رفع نقصهای امنیتی حیاتی در نرمافزار Collaboration منتشر کرد که در صورت اکسپلویت موفقیتآمیز، میتواند تحت شرایط خاصی منجر به افشای اطلاعات شود.
آسیبپذیری با شناسه CVE-2025-25064 و امتیاز (CVSS 9.8)، به عنوان یک باگ تزریق SQL در نقطه پایانی سرویس ZimbraSync SOAP توصیف شده است که بر نسخههای قبل از 10.0.12 و 10.1.4 تأثیر میگذارد. به دلیل عدم پاکسازی کافی پارامتر ارائه شده توسط کاربر، این نقص میتواند توسط مهاجمان احراز هویت شده برای تزریق کوئریهای دلخواه SQL که میتواند متادیتای ایمیل را با “دستکاری پارامتر خاصی در درخواست” بازیابی کند، مورد استفاده قرار گیرد.
آسیبپذیری مهم دیگر (بدون شناسه CVE) مربوط به اسکریپتنویسی متقابل سایت (XSS) در سرویس گیرنده وب کلاسیک Zimbra نیز برطرف شده است. این شرکت در توصیهای گفت: این باگ در نسخههای 9.0.0 Patch 44، 10.0.13 و 10.1.5 برطرف شده است که ضمن تقویت پاکسازی ورودی، امنیت را افزایش میدهد».
آسیبپذیری وصله شده دیگر با شناسه CVE-2025-25065 (امتیاز CVSS: 5.3)، یک نقص جعل درخواست سمت سرور (SSRF) در مؤلفه تجزیهکننده RSS feed است که امکان هدایت غیرمجاز به نقاط پایانی شبکه داخلی را فراهم میسازد. نقص امنیتی مذکور در نسخههای 9.0.0 Patch 43، 10.0.12 و 10.1.4 برطرف شده است.
https://thehackernews.com/2025/02/zimbra-releases-security-updates-for.html
