CVE-2025-25064 (CVSS 9.8): Critical SQL Injection Bug in Zimbra Collaboration
2025/02/09 SecurityOnline — 広く使用されている OSS の電子メール/コラボレーション・プラットフォームで Zimbra Collaboration に、2つのセキュリティ脆弱性 CVE-2025-25064/CVE-2025-25065 が発見された。これらの脆弱性の悪用に成功した攻撃者は、機密データや内部ネットワーク・リソースへの不正アクセスを達成し、電子メール/カレンダー/ファイル共有/タスク管理などに深刻なリスクをもたらす。
CVE-2025-25064 (CVSS 9.8)
Zimbra Collaboration の バージョン 10.0.12 未満の 10.0.x および 10.1.4 未満の 10.1.x に存在する、深刻な SQL インジェクション脆弱性である。この脆弱性は、ZimbraSync Service SOAP エンドポイントにおいて、ユーザーが指定したパラメータのサニタイズが不十分なために発生する。認証済の攻撃者であれば、パラメータを操作して任意の SQL クエリを挿入することで、この脆弱性を悪用し、電子メールのメタデータを取得する可能性がある。
CVE-2025-25065 (CVSS 5.3)
Zimbra Collaboration の、パッチ 43 未満のバージョン 9.0.0 および、10.0.12 未満の 10.0.x、10.1.4 未満の 10.1.x に影響を及ぼす、Medium レベルのサーバ・サイド・リクエスト・フォージェリ (SSRF) 脆弱性である。この脆弱性は RSS フィード・パーサー内に存在し、内部ネットワーク・エンドポイントへの不正なリダイレクトを可能にする。
Zimbra Collaboration においては、複数の重大な脆弱性が悪用され、サイバー犯罪者の標的となることが多い。
たとえば、2024年10月には、Zimbra のポストジャーナル・サービスに存在する、リモート・コード実行 (RCE) 脆弱性 CVE-2024-45519 が悪用されている。この脆弱性の悪用に成功した攻撃者は、CC フィールドに悪意のコマンドを取り込んだメールを送信し、そのメールがポストジャーナル・サービスにより処理されたときに、悪意のコマンドをトリガーしていた。
すでに Zimbra は、パッチをリリースし、脆弱性 CVE-2025-25064/CVE-2025-25065 に対処している。ユーザーに対して推奨されるのは。システムを直ちに更新することである。
Zimbra の SQLi/SSRF 脆弱性が FIX しました。文中にもある通り、 Zimbra Collaboration の脆弱性は、過去にもフィッシング・キャンペーンなどで悪用され続けてきました。ご利用のチームは、アップデートを忘れないよう、お気をつけください。直近の Zimbra 関連のトピックは、2024/10/06 の「Zimbra の脆弱性 CVE-2024-45519 の積極的な悪用を観測:パッチ未適用のシステムは 19K」となります。よろしければ、Zimbra で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.