1. Tổng quan và phân tích.
Zimbra đã công bố tài liệu bảo mật bao gồm lỗ hổng mức độ nghiêm trọng ảnh hưởng đến Zimbra Collaboration, khai thác thành công có thể cho phép kẻ tấn công data leak dữ liệu hệ thống trong một số trường hợp cụ thể.
***CVE-2025-25064
- Điểm CVSS: 9.8
- Mô tả: là lỗ hổng thuộc dạng SQL injection trong ZimbraSync Service SOAP endpoint trong Zimbra Collaboration do xác thực không đầy đủ đầu vào tham số người dùng cung cấp. Kẻ tấn công đã xác thực có thể khai thác lỗ hổng này bằng cách thao túng tham số trong request, từ đó chèn các truy vấn (SQL query) có thể trích xuất siêu dữ liệu email.
*** CVE-2025-25065
- Điểm CVSS: 3
- Mô tả: là lỗ hổng thuộc dạng SSRF trong trình xử lý RSS feed trong Zimbra Collaboration cho phép chuyển hướng trái phép trong mạng nội bộ.
2. Ảnh hưởng và giảm thiểu rủi ro
Zimbra đã giải quyết vấn đề bằng cách phát hành các phiên bản mới, bao gồm bản vá cho lỗ hổng này, cụ thể như sau:
| STT | Tên Ứng dụng | Phiên bản ảnh hưởng | Phiên bản cần nâng cấp |
| 1 | Zimbra Collaboration | 10.0.x – 10.0.12
10.1.x – 10.1.4 |
>= 10.0.12
>= 10.1.4 |
