CVE-2025-25064

Nome do Software Vulnerável e Versões Afetadas: Zimbra Collaboration versões 10.0.x até 10.0.11 Zimbra Collaboration versões 10.1.x até 10.1.3

Descrição: A questão está relacionada a uma vulnerabilidade de injeção de SQL no endpoint SOAP do Serviço ZimbraSync devido à sanitização insuficiente de um parâmetro fornecido pelo usuário. Atacantes autenticados podem explorar essa vulnerabilidade manipulando um parâmetro específico na requisição, permitindo-lhes injetar consultas SQL arbitrárias que poderiam recuperar metadados de e-mail. Estima-se que mais de 420.000 serviços estejam potencialmente afetados.

Recomendações: Zimbra Collaboration versões 10.0.x até 10.0.11: Atualize para a versão 10.0.12 ou posterior para resolver o problema. Zimbra Collaboration versões 10.1.x até 10.1.3: Atualize para a versão 10.1.4 ou posterior para resolver o problema. Como medida de contorno temporária, considere restringir o acesso ao endpoint SOAP do Serviço ZimbraSync até que um patch seja aplicado.