文章总结： Zimbra曝出高危本地文件包含漏洞CVE-2025-68645及硬编码凭证漏洞CVE-2025-67809。前者允许未认证攻击者读取内部文件，后者泄露Flickr密钥。鉴于LFI风险极高，建议管理员立即将系统升级至10.1.13或10.0.18版本以防御数据窃取与未授权访问。 综合评分： 85 文章分类： 漏洞预警,WEB安全,办公安全,应用安全,数据安全

Zimbra 遭受围攻：高危本地文件包含漏洞将内部文件暴露给未经身份验证的攻击者

sec随谈

sec随谈

2025年12月25日 08:43 北京

热门软件 Zimbra Collaboration Suite (ZCS) 的管理员被敦促立即修复两个不同的安全 漏洞。其中一个漏洞最为严重，它允许未经身份验证的攻击者利用“经典”Webmail 界面读取内部文件，从而可能将敏感的服务器数据暴露在互联网上。

这些缺陷分别被追踪为 CVE-2025-68645 和 CVE-2025-67809，影响平台的 10.0 和 10.1 分支。

本次安全公告的重点是 CVE-2025-68645，这是一个高危本地文件包含 (LFI)漏洞，CVSS 评分为 8.8。

问题出在 Webmail Classic 用户界面中，具体来说是 RestFilter servlet。由于对用户请求处理不当，系统无法充分清理发送到 /h/rest 端点的输入。

CVE 描述中写道： “未经身份验证的远程攻击者可以构造对 /h/rest 端点的请求，以影响内部请求分发。”

这一疏忽使得攻击者能够诱骗服务器将 WebRoot 目录中的任意文件包含在内。由于该攻击无需身份验证，任何将 Webmail Classic 界面暴露于互联网的服务器都可能面临内部应用程序文件被自动扫描程序窃取的风险。

第二个漏洞是硬编码凭证风险的典型案例。该漏洞编号为 CVE-2025-67809（CVSS 4.7），涉及 Flickr Zimlet——Zimbra 用于连接照片分享服务 Flickr 的集成工具。

研究人员发现，开发人员将 Flickr API 密钥和密钥直接嵌入到 Zimlet 的代码中，使其可以公开访问。

“由于这些凭证直接嵌入在 Zimlet 中，任何未经授权的方都可以检索它们并滥用 Flickr 集成，”美国国家标准与技术研究院 (NIST) 指出。

掌握这些密钥后，攻击者可以冒充合法的 Zimbra 应用程序，并发起有效的 OAuth 登录流程。如果他们成功诱骗用户批准请求，就能未经授权访问该用户的 Flickr 私人数据。

供应商随后撤销了被泄露的密钥，并从代码库中删除了硬编码的密钥。

Zimbra 已发布更新修复这两个漏洞。管理员应立即将部署升级到以下版本：

• Zimbra Collaboration 10.1.13
• Zimbra Collaboration 10.0.18

由于 LFI 漏洞允许未经身份验证的访问，建议各组织优先进行此更新，以防止机会主义威胁行为者进行潜在的侦察或数据泄露操作。

参考链接：

https://nvd.nist.gov/vuln/detail/CVE-2025-68645

https://nvd.nist.gov/vuln/detail/CVE-2025-67809

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈《Zimbra 遭受围攻：高危本地文件包含漏洞将内部文件暴露给未经身份验证的攻击者》