Se ha descubierto una vulnerabilidad de severidad alta en Zimbra Collaboration Suite. Un actor malicioso remoto no autenticado podría acceder a información sensible del sistema mediante la inclusión de archivos locales.
Productos afectados
- Zimbra Collaboration (ZCS): versiones 10.0.x anteriores a 10.0.18
- Zimbra Collaboration (ZCS): versiones 10.1.x anteriores a 10.1.13
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025–68645: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de inclusión de archivos locales en la interfaz clásica de Webmail de Zimbra Collaboration. Debido a un manejo incorrecto de los parámetros de solicitud en el servlet RestFilter, un actor malicioso remoto no autenticado podría manipular las solicitudes al endpoint /h/rest para influir en el despacho interno y leer archivos arbitrarios del directorio WebRoot, exponiendo potencialmente configuraciones o credenciales.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-68645
- https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.13#Security_Fixes
- https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.18#Security_Fixes