Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad SQLi en Zimbra Collaboration Suite

Fecha de publicación 11/02/2025
Identificador
INCIBE-2025-0071
Importancia
5 - Crítica
Recursos Afectados

Zimbra Collaboration Suite, versiones anteriores a:

  • 9.0.0 Patch 44
  • 10.0.13
  • 10.1.5
Descripción

El investigador byc_404  (Joe Zhou) ha descubierto una vulnerabilidad crítica de tipo SQLi en el endpoint SOAP del Servicio ZimbraSync en Zimbra Collaboration que podría permitir a un atacante acceder a metadatos de los correos.

Solución

Actualizar Zimbra Collaboration Suite a las versiones:

  • 9.0.0 Patch 44
  • 10.0.13
  • 10.1.5
Detalle

Debido a un saneamiento insuficiente de un parámetro proporcionado por el usuario en el endpoint SOAP del Servicio ZimbraSync, un atacante autenticado podría explotar esta vulnerabilidad manipulando el parámetro de la petición para insertar peticiones SQL arbitrarias que podrían recuperar metadatos de los correos.

Se ha asignado el identificador CVE-2025-25064 para esta vulnerabilidad.

Listado de referencias
Zimbra Collaboration - Security Vulnerability Advisories - CVE-2025-25064
Critical SQL Injection Bug in Zimbra Collaboration
Etiquetas