Zimbra多個漏洞
最後更新
2026年03月19日
發佈日期:
2025年11月07日
1112
觀看次數
風險: 高度風險
類型: 伺服器 - 互聯網應用伺服器
於 Zimbra 發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發跨網站指令碼、仿冒、繞過保安限制及洩露敏感資料。
注意:
CVE-2025-68645 正被廣泛利用。未經身份驗證的遠端攻擊者可以透過精心構造的請求,向目標系統的 /h/rest 端點發送要求,以影響內部請求的分派處理,導致洩露敏感資料。因此,風險等級由中度風險升為高度風險。
CVE-2025-66376 正被廣泛利用。此漏洞允許透過 HTML 電郵訊息中的 Cascading Style Sheets (CSS) @import 指令進行 Classic UI 內的跨網站指令碼攻擊。因此,風險等級被評為高度風險。
[更新於 2026-01-23]
更新描述、風險等級、漏洞識別碼及相關連結。
[更新於 2026-03-19]
更新描述及相關連結。
影響
- 繞過保安限制
- 仿冒
- 資料洩露
- 跨網站指令碼
受影響之系統或技術
- Zimbra Daffodil 10.0.18 之前的版本
- Zimbra Daffodil 10.1.13 之前的版本
解決方案
在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。
安裝軟件供應商提供的修補程式:
- https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.13#Security_Fixes
- https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.18#Security_Fixes
漏洞識別碼
資料來源
相關連結
- https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.13#Security_Fixes
- https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.18#Security_Fixes
- https://www.cisa.gov/news-events/alerts/2026/01/22/cisa-adds-four-known-exploited-vulnerabilities-catalog
- https://www.cisa.gov/news-events/alerts/2026/03/18/cisa-adds-one-known-exploited-vulnerability-catalog
分享至