Admins sollten ihre Zimbra-Server aus Sicherheitsgründen auf den aktuellen Stand bringen. Updates schließen mehreren Schwachstellen. Derzeit gibt es zwar noch keine Berichte zu Attacken, die Entwickler raten aber zum zügigen Updaten.
Anzeige
Im Sicherheitsbereich der Zimbra-Website listen sie mehrere Sicherheitslücken auf, für die teils noch keine CVE-Kennzeichnung vergeben wurde. Eine Lücke stufen sie als "kritisch" ein und Angreifer können im Zuge einer XSS-Attacke eigenen Code ausführen. Weitere Details dazu sind zurzeit nicht bekannt.
Zu einer "kritischen" Schwachstelle (CVE-2025-25064) sind aber schon Einzelheiten veröffentlicht. An der Lücke können authentifizierte Angreifer mit speziellen Anfragen ansetzen. Weil Nutzereingaben nicht ausreichend überprüft werden, können Angreifer an dieser Stelle eigene SQL-Befehle einschleusen, um so Zugriff auf Metadaten von Mails zu bekommen.
Eine weitere bekannte Sicherheitslücke (CVE-2025-25065 "mittel") erlaubt es Angreifern, Serververbindungen umzubiegen.
Um Systeme gegen die Attacken zu schützen, müssen Admins die abgesicherten Versionen 9.0.0 Patch 44, 10.0.13 oder 10.1.5 installieren.