聚焦源代码安全,网罗国内外最新资讯!
Zimbra 发布公告提到,“我们建议所有,尤其是使用 Zimbra 10.1.5至10.1.11的用户和管理员,立即应用该更新。”当攻击者诱骗服务器,向内部系统或外部URL等,提出越权请求时就会触发SSRF漏洞,导致这些内部系统或外部URL不可访问。
在 Zimbra 公司的聊天代理组件中,该漏洞可使威胁人员:
访问内部网络资源
检索敏感元数据,或
将服务器作为后续攻击的跳转点
Zimbra 漏洞通常被用于目标攻击中。今年早些时候,攻击者利用位于 ZCS 9.0、10.0和10.1版本中的一个未修复 0day 漏洞 (CVE-2025-27915),通过 .ICS 日历文件部署恶意 JavaScript payload。ICS (iCalendar) 文件通常是用于存储和交换应用之间事件数据的明文格式,但该漏洞源自对 HTML 内容的清理不充分,可导致在用户会话中执行任意 JavaScript。
Zimbra 在公告中提到,10.1.12在2025年10月16日发布,不仅修复了该 SSRF漏洞,还改进了其稳定性和同步性。强烈建议 10.1.5至10.1.11的管理员应用该更新以维护系统完整性。从10.1.3或更早版本升级的用户必须确保安装了 zimbra-lds-patch 包。升级后,管理员可通过如下命令来重新激活许可证。
zmlicense -a <license_key>
另外,在多服务器环境中,只有代理节点服务器将展示10.1.12版本的标签,其它节点可能会继续显示10.1.11。
https://securityonline.info/zimbra-issues-emergency-patch-for-critical-ssrf-vulnerability-in-chat-proxy-configuration/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~