Recursos Afectados
Zimbra Collaboration Suite, versiones anteriores a:
- 9.0.0 Patch 44
- 10.0.13
- 10.1.5
Descripción
El investigador byc_404 (Joe Zhou) ha descubierto una vulnerabilidad de tipo SQLi en el endpoint SOAP del Servicio ZimbraSync en Zimbra Collaboration que podría permitir a un atacante acceder a metadatos de los correos.
Identificador
INCIBE-2025-71
Solución
Actualizar Zimbra Collaboration Suite a las versiones:
- 9.0.0 Patch 44
- 10.0.13
- 10.1.5
Detalle
Debido a un saneamiento insuficiente de un parámetro proporcionado por el usuario en el endpoint SOAP del Servicio ZimbraSync, un atacante autenticado podría explotar esta vulnerabilidad manipulando el parámetro de la petición para insertar peticiones SQL arbitrarias que podrían recuperar metadatos de los correos.
Esta vulnerabilidad tiene asignado el identificador CVE-2025-25064.