Se ha descubierto una vulnerabilidad de severidad crítica en Zimbra. Un actor malicioso podría evadir los mecanismos de seguridad.
Productos afectados
- Zimbra Daffodil:
- 10.0, versiones anteriores a 10.0.16.
- 10.1, versiones anteriores a 10.1.10.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-54391: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad en el endpoint SOAP “EnableTwoFactorAuthRequest” de Zimbra Daffodil. Un actor malicioso con credenciales de usuario válidas podría evadir la autenticación de doble factor (2FA) y configurar un método 2FA adicional sin un token de autenticación válido, lo que podría permitir el acceso a cuentas de usuario protegidas por 2FA.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante. La versión 10.0 de Zimbra Daffodil ha llegado a su fin de vida, por lo que ya no recibirá actualizaciones. Se recomienda actualizar a la versión 10.1 soportada.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-54391
- https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
- https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.16