In der Webmail Classic UI von Zimbra Collaboration (ZCS) 10.0 und 10.1 wurde eine Local File Inclusion (LFI)-Schwachstelle mit hoher Schwere identifiziert. Ursache ist eine unzureichende Verarbeitung benutzerkontrollierter Request-Parameter im sogenannten RestFilter-Servlet.
Angreifer können ohne Authentifizierung speziell präparierte Anfragen an den Endpoint /h/rest senden und dadurch das interne Request-Routing beeinflussen. In der Folge ist es möglich, beliebige Dateien aus dem WebRoot-Verzeichnis des Zimbra-Servers einzubinden und offenzulegen. Abhängig vom enthaltenen Inhalt können sensible Konfigurations- oder Anwendungsdateien kompromittiert werden.
Die Schwachstelle wird unter der Kennung CVE-2025-68645 geführt und mit einem CVSS-Score von 8.8 als „High“ eingestuft. Sie ist netzwerkbasiert ausnutzbar, erfordert keine Privilegien, jedoch eine Benutzerinteraktion. Betroffene Administratoren sollten die offiziellen Sicherheitshinweise von Zimbra beobachten und den Zugriff auf exponierte Webmail-Interfaces einschränken, bis entsprechende Updates oder Mitigations verfügbar sind, denn die Lücke wird bereits aktiv von Hackern ausgenutzt.
