文章总结： 本周雷神众测汇总四大高危漏洞：ZimbraCollaboration10.0/10.1分支因RestFilter参数处理不当致未认证LFI，编号CVE-2025-68645，需升级至10.1.13/10.0.18；MicrosoftOffice套件含CVE-2025-62216远程代码执行，影响2021/2024及365企业版；Android13-15存在权限提升漏洞CVE-2025-22429；Visio同套件亦曝代码执行CVE-2025-59226。全部漏洞官方已发补丁，建议立即测试并升级至最新版本以降低风险。 综合评分： 78 文章分类： 漏洞预警,漏洞分析,办公安全,移动安全,应用安全

雷神众测漏洞周报2025.12.29-2026.1.4

原创

雷神众测

雷神众测

2026年1月5日 16:15 浙江

摘要

以下内容，均摘自于互联网，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的副本，包括版权声明等全部内容。声明雷神众测允许，不得任意修改或增减此文章内容，不得以任何方式将其用于商业目的。

目录

1.Zimbra Collaboration 存在本地文件包含漏洞

2.Microsoft Office代码执行漏洞

3.Google Android权限提升漏洞

4.Microsoft Office Visio代码执行漏洞

漏洞详情

1.Zimbra Collaboration 存在本地文件包含漏洞

漏洞介绍：

Zimbra Collaboration是一款开源的企业级协同办公软件，主要提供邮件、日历、联系人管理及文件共享等核心功能，其中包括电子邮件服务器和Web客户端。

漏洞危害：

Zimbra Collaboration (ZCS) 10.0 和 10.1 分支的 Webmail Classic UI 存在一个本地文件包含（LFI）漏洞，这是由于 RestFilter servlet 中对用户提供的请求参数处理不当所致。未经身份验证的远程攻击者可以向 /h/* 端点发送精心构造的请求，从而影响内部请求的分发，导致包含 WebRoot 目录中的任意文件。

漏洞编号：

CVE-2025-68645

影响范围：

Zimbra Collaboration < 10.1.13

Zimbra Collaboration < 10.0.18

修复方案：

及时测试并升级到最新版本或升级版本

来源:安恒信息CERT

2.Microsoft Office代码执行漏洞

漏洞介绍：

Microsoft Office是美国微软（Microsoft）公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。

漏洞危害：

Microsoft Office存在代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。

漏洞编号：

CVE-2025-62216

影响范围：

Microsoft 365 Apps for Enterprise

Microsoft Office LTSC 2021

Microsoft Microsoft Office LTSC 2024

修复方案：

及时测试并升级到最新版本或升级版本

来源：CNVD

3.Google Android权限提升漏洞

漏洞介绍：

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。

漏洞危害：

Google Android存在权限提升漏洞，该漏洞是由于多个位置的代码中的逻辑错误引起的。攻击者可利用该漏洞在系统上获得更高的权限。

漏洞编号：

CVE-2025-22429

影响范围：

Google Android 14.0

Google Android 15.0

Google Android 13.0

修复方案：

及时测试并升级到最新版本或升级版本

来源：CNVD

4.Microsoft Office Visio代码执行漏洞

漏洞介绍：

Microsoft Office Visio是美国微软（Microsoft）公司的一款Office软件系列中的负责绘制流程图和示意图的软件。

漏洞危害：

Microsoft Office Visio存在代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。

漏洞编号：

CVE-2025-59226

影响范围：

Microsoft 365 Apps for Enterprise

Microsoft Office LTSC 2021

Microsoft Microsoft Office LTSC 2024

修复方案：

及时测试并升级到最新版本或升级版本

来源：CNVD

专注渗透测试技术

全球最新网络攻击技术

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：雷神众测 雷神众测《雷神众测漏洞周报2025.12.29-2026.1.4》