Zimbra a publié des mises à jour logicielles pour corriger des failles de sécurité critiques dans son logiciel de collaboration qui, si elles sont exploitées avec succès, pourraient entraîner la divulgation d'informations dans certaines conditions. La vulnérabilité, identifiée comme CVE-2025-25064, a un score CVSS de 9,8 sur un maximum de 10,0. Elle a été décrite comme un bug d'injection SQL dans le point de terminaison SOAP du service ZimbraSync affectant les versions antérieures à 10.0.12 et 10.1.4. Découlant d'un manque de nettoyage adéquat d'un paramètre fourni par l'utilisateur, cette lacune pourrait être exploitée par des attaquants authentifiés pour injecter des requêtes SQL arbitraires susceptibles de récupérer les métadonnées des e-mails en « manipulant un paramètre spécifique dans la requête ».
RISQUES
- Divulgation d'informations
SYSTÈMES AFFECTÉS
- Zimbra versions antérieures à 10.0.12
- Zimbra versions antérieures à 10.1.4.
SOLUTIONS
- Mettre à jour les versions 9.0.0 Patch 43, 10.0.12 et 10.1.4.
Source : The Hackers News
