Zimbra Issues Security Update to Address XSS, XXE, and LDAP Injection Flaws
2026/02/13 gbhackers — Zimbra が公開したバージョン 10.1.16 により、メール・インフラおよびユーザー・データを侵害し得る、複数の深刻な脆弱性が対処された。同社は、一連の脆弱性の深刻度を High に分類し、Web ベース攻撃に関連するリスク軽減のため、管理者に対して優先的なアップグレードを強く推奨している。
このアップデートにより修正されたのは、このコラボレーション・スイートへの不正アクセスで脅威アクターたちに悪用されることの多い、インジェクション脆弱性およびスクリプト関連の欠陥である。
脆弱性詳細
| Vulnerability Type | Severity | Description |
|---|---|---|
| Cross-Site Scripting (XSS) | High | A vulnerability in Zimbra Webmail and Briefcase file sharing allowing script execution in user sessions. |
| LDAP Injection | High | An authenticated flaw where improper input sanitization allowed manipulation of LDAP queries. |
| XML External Entity (XXE) | High | A vulnerability located in the EWS SOAP endpoint allowing interference with XML data processing. |
| CSRF Bypass | Medium | Insufficient Cross-Site Request Forgery protection which has been fixed with proper token validation. |
このリリースにおいて最も重要な修正は、XSS の脆弱性と LDAP インジェクションの脆弱性への対応である。
Zimbra のエンジニアリング・チームは、Webmail および Briefcase ファイル共有コンポーネントに存在する XSS の脆弱性を解消した。この脆弱性を悪用する攻撃者は、ユーザー・ブラウザ・セッション内で悪意のスクリプトを実行し、セッション・ハイジャックや認証情報の窃取を引き起こす可能性がある。
さらに、このパッチは、認証済みの攻撃者が悪用できる LDAP インジェクションの脆弱性にも対応している。入力サニタイズを強化することで、認証済みユーザーによる LDAP クエリの操作を防止する。この悪意のクエリ操作は、未承認ディレクトリ情報へのアクセスやアプリケーション・ロジック回避に利用される典型的な手法である。
一連の Web ベースの脆弱性に加え、EWS SOAP エンドポイントに存在する深刻な XML External Entity (XXE) の脆弱性も修正された。
この XXE 脆弱性を悪用する攻撃者は、アプリケーションの XML データ処理に干渉し、内部ファイルの漏洩や Server Side Request Forgery (SSRF) を引き起こす可能性がある。
Zimbra のセキュリティ・チームは、Web アプリケーションに信頼されるユーザーを介した不正コマンドの送信を、適切なトークン検証を強制することで防止し、Cross Site Request Forgery (CSRF) 対策を強化した。
これらのセキュリティ強化に加え、Zimbra 10.1.16 では Backup and Restore モジュールに大幅な改善が導入された。zstd 圧縮および強化された重複排除により、最大で 45% のストレージ削減が可能になる。管理者は、パッチ適用前に標準バックアップ手順を実施すべきである。
今回のリリースは、Ubuntu 24 対応のベータ版にも導入され、Classic UI における PDF プレビューの安定性を回復させている。これにより、セキュリティ強化と同時に、ユーザビリティの維持も図られている。
企業や組織の通信基盤である Zimbra Collaboration Suite において、セッション奪取に繋がる XSS や、ディレクトリ情報の不正操作を許す LDAP インジェクション、そして内部ファイル漏洩を招く XXE が同時に修正されました。一連の問題の原因は、Web メール/ファイル共有機能/外部連携用の窓口 (SOAP エンドポイント) において、入力されたデータに対する不十分な検証やサニタイズにあります。それにより、悪意のプログラムをユーザーのブラウザ上で実行させる XSS や、データベース・クエリ不正に操作する LDAP インジェクション、さらには、サーバ内部のファイルを読み取らせる XXE といった攻撃が可能になっていました。ご利用のチームは、ご注意ください。よろしければ、Zimbra での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.