Impatto Sistemico

Alto (74.1)

Sintesi

Disponibile un Proof of Concept (PoC) per lo sfruttamento della CVE-2025-68645 – già sanata dal vendor – presente in Zimbra Collaboration Suite (ZCS). Tale vulnerabilità, qualora sfruttata, potrebbe permettere di accedere a informazioni sensibili sui sistemi interessati.

Tipologia

• Information Disclosure

Descrizione

Disponibile un Proof of Concept (PoC) per lo sfruttamento della CVE-2025-68645 – già sanata dal vendor – relativa a Zimbra Collaboration Suite (ZCS).

Tale vulnerabilità – di tipo “Local File Inclusion (LFI)” e con score CVSS v3.x pari a 8.8 – presente nella Webmail Classic UI di Zimbra Collaboration (ZCS), è dovuta ad una gestione non corretta dei parametri di richiesta forniti dall’utente all’interno del servlet RestFilter ¹ . Un attaccante remoto non autenticato potrebbe sfruttare questa vulnerabilità inviando richieste opportunamente predisposte verso l’endpoint /h/rest , per influenzare il meccanismo interno di instradamento delle richieste e ottenere informazioni sensibili tramite l’inclusione di file arbitrari presenti nella directory WebRoot dell’applicazione.

Prodotti e versioni affette

Zimbra

• Collaboration 10.0.x, versioni precedenti alla 10.0.18
• Collaboration 10.1.x, versioni precedenti alla 10.1.13

Azioni di mitigazione

Ove non già provveduto, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.

¹ servlet filter Java utilizzato all’interno di Zimbra Collaboration Suite (ZCS) per intercettare, filtrare e instradare le richieste HTTP dirette alle funzionalità REST dell’applicazione, in particolare sull’endpoint /h/rest.