Zimbra Collaboration平台近日被发现存在两个新的安全漏洞：CVE-2025-25064和CVE-2025-25065。其中，CVE-2025-25064是一个严重的SQL注入漏洞，存在于ZimbraSync服务SOAP端点中，已认证的攻击者可以通过操纵参数注入任意SQL查询，获取敏感的电子邮件元数据。CVE-2025-25065则是一个中等严重程度的服务器端请求伪造（SSRF）漏洞，存在于RSS feed解析器中，可能导致未经授权的重定向到内部网络端点。由于Zimbra一直是网络犯罪分子的攻击目标，官方已发布补丁，强烈建议用户立即更新系统。

🚨CVE-2025-25064是一个高危SQL注入漏洞，CVSS评分高达9.8，影响Zimbra Collaboration 10.0.x (10.0.12之前) 和10.1.x (10.1.4之前)版本。攻击者通过ZimbraSync服务SOAP端点注入恶意SQL查询，可能窃取电子邮件元数据。

🌐CVE-2025-25065是一个中等风险的服务器端请求伪造（SSRF）漏洞，CVSS评分为5.3，同样影响Zimbra Collaboration 9.0.0 (补丁43之前), 10.0.x (10.0.12之前) 和 10.1.x (10.1.4之前)版本。此漏洞位于RSS feed解析器中，允许未经授权的重定向到内部网络端点。

🛡️Zimbra Collaboration平台过去曾多次遭受攻击，例如去年10月利用的CVE-2024-45519漏洞，这是一个远程代码执行（RCE）漏洞，攻击者通过构造恶意邮件在抄送字段中包含恶意命令，当postjournal服务处理邮件时执行这些命令。因此，及时更新至关重要。

✔️Zimbra已针对CVE-2025-25064和CVE-2025-25065发布了安全补丁，强烈建议所有用户立即更新其Zimbra Collaboration系统，以避免潜在的安全风险和数据泄露。

Zimbra Collaboration 是一款广泛使用的开源电子邮件与协作平台，现已发现该平台存在两个新的安全漏洞，这对依赖此软件进行电子邮件、日历、文件共享及任务管理的企业构成严重风险。这些漏洞编号为 CVE – 2025 – 25064 和 CVE – 2025 – 25065，攻击者利用它们可获取对敏感数据和内部网络资源的未授权访问。CVE – 2025 – 25064（通用漏洞评分系统（CVSS）评分 9.8）是一个严重的 SQL 注入漏洞，影响 Zimbra Collaboration 10.0.x 版本（10.0.12 之前）以及 10.1.x 版本（10.1.4 之前）。此漏洞源于 ZimbraSync 服务 SOAP 端点中对用户提供参数的清理不足。已认证的攻击者可通过操纵该参数注入任意 SQL 查询，从而有可能获取电子邮件元数据。CVE – 2025 – 25065（CVSS 评分 5.3）是一个中等严重程度的服务器端请求伪造（SSRF）漏洞，影响 Zimbra Collaboration 9.0.0 版本（补丁 43 之前）、10.0.x 版本（10.0.12 之前）以及 10.1.x 版本（10.1.4 之前）。该漏洞存在于 RSS feed 解析器中，可导致未经授权的重定向到内部网络端点。Zimbra Collaboration 一直是网络犯罪分子的常见攻击目标，已有多个严重漏洞在实际环境中被利用。例如，去年 10 月，黑客利用了 CVE – 2024 – 45519，这是 Zimbra 的 postjournal 服务中的一个远程代码执行（RCE）漏洞。该漏洞使攻击者能够发送精心构造的电子邮件，在抄送（CC）字段中包含恶意命令，当 postjournal 服务处理该邮件时，这些命令就会被执行。Zimbra 已发布针对 CVE – 2025 – 25064 和 CVE – 2025 – 25065 的补丁，强烈敦促用户立即更新其系统。