CVE-2025-25064: SQL Injection in Zimbra

Zimbra ist eine weit verbreitete Collaboration- und Groupware-Plattform, die Unternehmen und Organisationen vor allem für E-Mail, Kalender, Kontakte und Aufgaben-Management nutzen. Die Lösung umfasst einen Server mit umfangreichen Funktionen (z. B. Webmail, mobile Synchronisierung) und wird häufig als On-Premises- oder Cloud-Variante eingesetzt.

Nach jüngsten Erkenntnissen weist Zimbra Collaboration in den Versionen 10.0.x vor 10.0.12 sowie 10.1.x vor 10.1.4 eine Sicherheitslücke (CVE-2025-25064) in der Komponente „ZimbraSync Service SOAP endpoint“ auf, die als SQL-Injection klassifiziert ist. Diese Schwachstelle entsteht durch unzureichende Eingabesäuberung eines von Anwendern gesendeten Parameters. Authentifizierte Angreifer können so manipulierte Anfragen an den Server senden, wodurch sich potenziell beliebige SQL-Befehle ausführen lassen. Auf diese Weise können zum Beispiel E-Mail-Metadaten abgegriffen oder andere vertrauliche Informationen ausgelesen werden. Die CVSS Bewertung 9.8 CRITICAL mit Vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H deutet darauf hin, dass diese Lücke besonders einfach ausnutzbar und gefährlich ist.

Anwenderinnen und Anwender von Zimbra sollten jedoch rasch handeln und auf die Versionen 10.0.12 bzw. 10.1.4 oder höher aktualisieren, in denen das Problem behoben ist. Zusätzliche Informationen und Sicherheits-Hinweise finden sich in den offiziellen Zimbra-Sicherheitsadvisories sowie den entsprechenden Release Notes.

Related Posts

Kritische Sicherheitslücken in HP Universal Print Driver Series

HP hat kritische Schwachstellen in seiner HP Universal Print Driver Series (PCL 6 und PostScript) geschlossen. Betroffen sind die Bibliotheken libjpeg, libpng, OpenSSL und zlib. Durch diese Schwachstellen kann es unter anderem zu Arbitrary Code Execution, Denial of Service oder Information Disclosure kommen.

Read More

CVE-2025-23114: Man-In-The-Middle Schwachstellen in Veeam Backup Produkten

Veröffentlicht: 04. Februar 2025 Schweregrad: Kritisch (CVSS v3.1 Score: 9.0)

Read More

Sicherheitslücken in Vaultwarden: Privilegieneskalation und Admin-Panel-Übernahme

In Vaultwarden, einer beliebten Open-Source-Alternative zu Bitwarden, wurden drei schwerwiegende Sicherheitslücken entdeckt, die es Angreifern ermöglichen, administrative Kontrolle über fremde Organisationen zu erlangen oder das Admin-Panel unautorisiert zu manipulieren. Betroffen sind alle Versionen bis einschließlich 1.32.7, die Schwachstellen wurden in Version 1.33.0 behoben.

Read More