Zimbra lança atualizações de segurança para corrigir falhas de SQL Injection, XSS armazenado e SSRF

A Zimbra lançou atualizações de segurança para corrigir falhas críticas em seu software de colaboração, que, se exploradas com sucesso, poderiam levar à exposição de informações sensíveis.

A principal vulnerabilidade, rastreada como CVE-2025-25064, recebeu uma pontuação CVSS de 9.8/10, sendo classificada como uma falha grave de SQL Injection no endpoint SOAP do ZimbraSync Service. Essa vulnerabilidade afeta versões anteriores a 10.0.12 e 10.1.4. O problema decorre da falta de sanitização adequada de parâmetros fornecidos pelo usuário, permitindo que hackers autenticados injetem consultas SQL arbitrárias. Como resultado, um invasor pode manipular parâmetros em uma requisição para recuperar metadados de e-mails.

Correções para XSS Armazenado e SSRF

Além da falha de SQL Injection, a Zimbra também corrigiu uma vulnerabilidade crítica de cross-site scripting (XSS) armazenado no Zimbra Classic Web Client. Essa falha, que ainda não recebeu um identificador CVE, foi corrigida nas versões 9.0.0 Patch 44, 10.0.13 e 10.1.5. A correção aprimora a sanitização de entrada de dados e fortalece a segurança contra ataques XSS.

Outra vulnerabilidade tratada foi a CVE-2025-25065, que possui uma pontuação CVSS de 5.3 e se trata de uma falha de Server-Side Request Forgery (SSRF) no componente de parser de feeds RSS. Essa vulnerabilidade poderia permitir que hackers redirecionassem requisições não autorizadas para endpoints internos da rede, comprometendo a segurança do ambiente. A correção foi implementada nas versões 9.0.0 Patch 43, 10.0.12 e 10.1.4.

A Zimbra recomenda fortemente que todos os clientes atualizem seus sistemas para as versões mais recentes do Zimbra Collaboration, garantindo proteção contra essas falhas críticas.

Via - THN