Zimbra ha rilasciato aggiornamenti software per correggere gravi vulnerabilità di sicurezza nel suo software di collaborazione che, se sfruttate con successo, potrebbero portare a una divulgazione di informazioni in determinate condizioni.
Le novitàè apportate sul software di Zimbra
La vulnerabilità, identificata come CVE-2025-25064, ha un punteggio CVSS di 9,8 su un massimo di 10,0. È stata descritta come un errore di iniezione SQL nell’endpoint SOAP del servizio ZimbraSync che riguarda le versioni precedenti alla 10.0.12 e 10.1.4.
Derivante dalla mancanza di una corretta sanitizzazione di un parametro fornito dall’utente, la vulnerabilità potrebbe essere sfruttata da attaccanti autenticati per iniettare query SQL arbitrarie che potrebbero recuperare i metadati delle email manipolando un parametro specifico nella richiesta.
L’azienda ha anche dichiarato di aver risolto un’altra vulnerabilità critica relativa allo scripting inter-sito (XSS) persistente nel client web Zimbra Classic. La falla non ha ancora ricevuto un identificatore CVE.
“La correzione rafforza la sanitizzazione degli input e migliora la sicurezza“, ha dichiarato l’azienda in un avviso, aggiungendo che il problema è stato risolto nelle versioni 9.0.0 Patch 44, 10.0.13 e 10.1.5.
Un’altra vulnerabilità affrontata da Zimbra è la CVE-2025-25065 (punteggio CVSS: 5,3), una falla di severità media di server-side request forgery (SSRF) nel componente del parser del feed RSS che consente una redirezione non autorizzata verso endpoint della rete interna.
Il difetto di sicurezza è stato corretto nelle versioni 9.0.0 Patch 43, 10.0.12 e 10.1.4 e si consiglia ai clienti di aggiornare alle versioni più recenti di Zimbra Collaboration per una protezione ottimale.