Zimbra, işbirliği yazılımındaki kritik güvenlik kusurlarını ele almak için yazılım güncellemeleri yayınladı ve başarılı bir şekilde kullanılırsa, belirli koşullar altında bilgi açıklamasına neden olabilir.
CVE-2025-25064 olarak izlenen güvenlik açığı, maksimum 10.0 üzerinden 9.8 CVSS skoru taşır. Zimbrasync hizmeti sabun uç noktasında 10.0.12 ve 10.1.4’ten önceki sürümleri etkileyen bir SQL enjeksiyon hatası olarak tanımlanmıştır.
Kullanıcı tarafından sağlanan bir parametrenin yeterli dezenfekte olmamasından kaynaklanan eksiklik, eksik saldırganlar tarafından “istekte belirli bir parametreyi manipüle ederek” e-posta meta verilerini alabilecek keyfi SQL sorguları enjekte etmek için silahlandırılabilir.
Zimbra ayrıca, Zimbra Classic Web istemcisindeki depolanmış siteler arası komut dosyası (XSS) ile ilgili başka bir kritik güvenlik açığına değindiğini söyledi. Kusura henüz bir CVE tanımlayıcısı atanmadı.
Bir danışmanlıkta, sorunun 9.0.0 Patch 44, 10.0.13 ve 10.1.5 sürümlerinde düzeltildiğini ekleyerek, “Düzeltme giriş dezenfekârını güçlendiriyor ve güvenliği artırıyor.” Dedi.
Zimbra tarafından ele alınan bir başka güvenlik açığı, RSS besleme parçacı bileşeninde, dahili ağ uç noktalarına yetkisiz yeniden yönlendirmeye izin veren orta şiddetli bir sunucu tarafı istek serinletici (SSRF) kusur olan CVE-2025-25065’tir (CVSS skoru: 5.3).
Güvenlik hatası 9.0.0 Yama 43, 10.0.12 ve 10.1.4 sürümlerinde yamalanmıştır. Müşterilere Optimal Koruma için Zimbra İşbirliği’nin en son sürümlerini güncellemeleri önerilir.