Zimbra Webmail: Kritische LFI-Schwachstelle in Classic UI entdeckt

In der Webmail Classic UI von Zimbra Collaboration (ZCS) 10.0 und 10.1 wurde eine Local File Inclusion (LFI)-Schwachstelle mit hoher Schwere identifiziert. Ursache ist eine unzureichende Verarbeitung benutzerkontrollierter Request-Parameter im sogenannten RestFilter-Servlet.

Angreifer können ohne Authentifizierung speziell präparierte Anfragen an den Endpoint /h/rest senden und dadurch das interne Request-Routing beeinflussen. In der Folge ist es möglich, beliebige Dateien aus dem WebRoot-Verzeichnis des Zimbra-Servers einzubinden und offenzulegen. Abhängig vom enthaltenen Inhalt können sensible Konfigurations- oder Anwendungsdateien kompromittiert werden.

Die Schwachstelle wird unter der Kennung CVE-2025-68645 geführt und mit einem CVSS-Score von 8.8 als „High“ eingestuft. Sie ist netzwerkbasiert ausnutzbar, erfordert keine Privilegien, jedoch eine Benutzerinteraktion. Betroffene Administratoren sollten die offiziellen Sicherheitshinweise von Zimbra beobachten und den Zugriff auf exponierte Webmail-Interfaces einschränken, bis entsprechende Updates oder Mitigations verfügbar sind, denn die Lücke wird bereits aktiv von Hackern ausgenutzt.

Related Posts

NordVPN weist Vorwürfe zu angeblichem Salesforce-Datenleck zurück

NordVPN hat Berichte über einen angeblichen Zugriff auf einen internen Salesforce-Entwicklungsserver zurückgewiesen. Auslöser war ein Datendump in einem Hackerforum, in dem ein Angreifer behauptete, Systeme des VPN-Anbieters kompromittiert zu haben. Nach einer ersten forensischen Analyse sieht NordVPN jedoch keine Hinweise auf einen Einbruch in eigene Server oder die Produktionsinfrastruktur.

Read More

Schwere Token-Schwachstellen in Plex Media Server

Im Plex Media Server wurde die kritische Schwachstelle CVE-2025-34158 gefunden, die eine Privilegieneskalation innerhalb der Plattform erlaubte. Betroffen sind Versionen von 1.41.7 bis 1.42.0. Über den Endpunkt /myplex/account können authentifizierte Nicht-Besitzer das Admin-Zugriffstoken des Serverbesitzers auslesen und damit vollständige Kontrolle über geteilte Server sowie verbundene Plex-Instanzen erlangen. Die Lücke wurde im August 2025 mit Version 1.42.1 geschlossen.

Read More

USA verlangen Zugriff auf europäische Polizeidaten

Die USA wollen den Verbleib europäischer Staaten im Visa-Waiver-Programm künftig an einen direkten Zugriff auf nationale Polizeidatenbanken knüpfen. Gefordert wird der automatisierte Zugang zu Biometriedaten wie Fingerabdrücken und Gesichtsbildern – nicht nur von Reisenden, sondern auch von Personen, deren Daten bei Polizei- und Grenzbehörden gespeichert sind.

Read More