A Zimbra liberou atualizações críticas para seu software de colaboração, corrigindo falhas de segurança que poderiam levar à exposição de informações sob certas condições. A mais grave das vulnerabilidades, identificada como CVE-2025-25064, possui uma pontuação CVSS de 9.8/10 e afeta o serviço ZimbraSync Service SOAP nas versões anteriores a 10.0.12 e 10.1.4.

O problema decorre da falta de sanitização adequada em um parâmetro fornecido pelo usuário, permitindo que atacantes autenticados injetem consultas SQL arbitrárias e acessem metadados de e-mails ao manipular requisições específicas. Outra falha crítica corrigida envolve um ataque de cross-site scripting (XSS) armazenado no Zimbra Classic Web Client.

Ainda sem um identificador CVE, essa vulnerabilidade foi corrigida nas versões 9.0.0 Patch 44, 10.0.13 e 10.1.5, por meio de melhorias na sanitização de entradas e reforço da segurança. Além disso, a Zimbra tratou a CVE-2025-25065, uma falha de server-side request forgery (SSRF) com pontuação 5.3/10 no CVSS. Essa vulnerabilidade no parser de feeds RSS permitia o redirecionamento não autorizado para endereços internos da rede. O problema foi solucionado nas versões 9.0.0 Patch 43, 10.0.12 e 10.1.4. A Zimbra recomenda que os usuários atualizem imediatamente para as versões mais recentes do software a fim de garantir maior proteção contra possíveis ataques.