CVE-2025-32354 olarak izlenen Zimbra İşbirliği Sunucusu (ZCS) 9.0 ila 10.1 sürümlerinde kritik bir bölgeler arası istek (CSRF) güvenlik açığı, saldırganların yetkisiz grafik işlemlerini ve erişim duyarlı kullanıcı verilerini yürütmesine izin verir.
Kusur, Zimbra’nın WebMail arayüzünün GraphQL uç noktasında (/Service/Extension/GraphQL) bulunur;
Zimbra’nın GraphQL uç noktasında kritik CSRF güvenlik açığı
CSRF saldırıları, bir web uygulamasının kimliği doğrulanmış bir kullanıcının tarayıcısına olan güvenini kullanır. Bu durumda, Zimbra’nın GraphQL API’sinde CSRF anti-jetonlarının olmaması, saldırganların kurbanların tarayıcılarını sahte istekler göndermeye zorlayan kötü niyetli web sayfaları veya e-postalar oluşturmasına izin veriyor.
.png
)
Örneğin, bir saldırgan Zimbra’nın GraphQL uç noktasını hedefleyen gizli bir formu yerleştirebilir:
- Kişileri değiştirin veya dışa aktarın.
- Hesap ayarlarını değiştirin (örneğin, e -posta yönlendirme kuralları).
- E -posta meta verileri ve klasör yapıları dahil olmak üzere hassas verileri ekspiltratlayın.
Güvenlik açığı özellikle şiddetlidir, çünkü Zimbra’nın GraphQL API’si ikincil kimlik doğrulama kontrolleri olmadan yüksek ayrıcalıklı işlemleri işler.
Kavram kanıtı, istismar, kurbanın Zimbra’ya giriş yaparken bubi tuzağa düşürülmüş bir sayfayı ziyaret etmesi durumunda tek bir kötü amaçlı HTTP sonrası talebin bir hesaptan ödün verebileceğini gösterdi.
Zimbra’nın güvenlik ekibi, Sıfır Gün Girişimi ile kusuru keşfettiği için araştırmacıya 0xf4h1m kredilendirdi.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Zimbra İşbirliği (ZCS) 9.0 ila 10.1 |
| Darbe | Yetkisiz GraphQL İşlemleri: Saldırganlar kişileri değiştirebilir, hesap ayarlarını değiştirebilir ve hassas kullanıcı verilerine erişebilir |
| Önkoşuldan istismar | Mağdur kimlik doğrulanmalı ve kötü niyetli bir web sitesini ziyaret etmelidir (CSRF jeton doğrulama eksikliği yoluyla CSRF saldırısı) |
| CVSS 3.1 puanı | 7.4 (Yüksek) |
Etkilenen versiyonlar ve hafifletme
Zimbra, güvenlik açığının tüm ZCS sürümlerini 9.0’dan 10.1.3’e kadar etkilediğini doğruladı. Yamalar, tüm GraphQL istekleri için CSRF jeton doğrulamasını uygulayan ZCS 10.1.4’te mevcuttur. Hemen yükseltemeyen yöneticiler riskleri azaltabilir:
- GraphQL’in Zimbra_GQL_ENABLE_DANGEROLE_DEPRECATED_GET_METHOD_WILL_BE_REMOVED Yerel Yapılandırma Parametresi üzerinden devre dışı bırakılması.
- Yetkisiz GraphQL mutasyonlarını engellemek için ters proxy kurallarının uygulanması.
- Kullanıcıları kimliği doğrulanırken güvenilmeyen bağlantıları tıklamaktan kaçınmak için eğitmek.
Şirketin danışmanlığı, yöneticileri yükseltmelere öncelik vermeye çağırıyor ve “görev açısından kritik e-posta sistemlerindeki CSRF güvenlik açıklarının kurumsal ağlarda yanal hareket fırsatları yarattığını” belirtiyor.
Zimbra’nın küresel olarak 200.000’den fazla kurumsal e -posta sunucusuna güç vermesiyle, Patched durumları kimlik avı kampanyaları ve veri açığa çıkması için ana hedefler olmaya devam ediyor.
İşletmeler giderek daha fazla entegrasyon için API’lere dayandıkça, kimlik doğrulama mekanizmalarının titiz güvenlik testi pazarlık edilemez hale gelmez.
Zimbra yöneticileri hemen yamalar uygulamalı ve anormal GraphQL aktivitesini tespit etmek için üçüncü taraf izleme çözümlerini dikkate almalıdır.
SOC ve DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.