Zimbra telah merilis pembaruan perangkat lunak untuk mengatasi kelemahan keamanan kritis dalam perangkat lunak kolaborasinya yang, jika berhasil dieksploitasi, dapat mengakibatkan pengungkapan informasi dalam kondisi tertentu.
Kerentanan, dilacak sebagai CVE-2025-25064, membawa skor CVSS 9,8 dari maksimum 10,0. Ini telah digambarkan sebagai bug injeksi SQL di titik akhir SOAP layanan Zimbrasync yang mempengaruhi versi sebelum 10.0.12 dan 10.1.4.
Berasal dari kurangnya sanitasi yang memadai dari parameter yang disediakan pengguna, kekurangannya dapat dipersenjatai oleh penyerang yang diautentikasi untuk menyuntikkan kueri SQL yang sewenang-wenang yang dapat mengambil metadata email dengan “memanipulasi parameter tertentu dalam permintaan.”
Zimbra juga mengatakan bahwa pihaknya membahas kerentanan kritis lain yang terkait dengan scripting lintas situs tersimpan (XSS) di klien web Zimbra Classic. Kelemahannya belum diberi pengidentifikasi CVE.
“Perbaikan memperkuat sanitasi input dan meningkatkan keamanan,” kata perusahaan itu dalam penasihat, menambahkan masalah telah diperbaiki dalam versi 9.0.0 patch 44, 10.0.13, dan 10.1.5.
Kerentanan lain yang dibahas oleh Zimbra adalah CVE-2025-25065 (skor CVSS: 5.3), cacat pemalsuan server-side-side-sender (SSRF) dalam komponen parser umpan RSS yang memungkinkan pengalihan yang tidak sah untuk titik akhir jaringan internal.
Cacat keamanan telah ditambal dalam versi 9.0.0 patch 43, 10.0.12, dan 10.1.4. Pelanggan disarankan untuk memperbarui ke versi terbaru kolaborasi Zimbra untuk perlindungan optimal.
