Origine : bjCSIRT
Numéro : 2025/ALERTE/012
Date de l’alerte : 12/02/2025
APERÇU :
Une vulnérabilité dans le composant SOAP du service ZimbraSync de Zimbra, permettrait à un acteur malveillant authentifié d‘injecter des commandes SQL afin d’accéder à des données sensibles.
DESCRIPTION :
Zimbra Collaboration Suite est une suite logicielle offrant des services de messagerie, de chat et de calendrier. La suite dispose d’une interface de programmation d’application SOAP pour son service ZimbraSync.
Ce service est affecté par une vulnérabilité libellée CVE-2025- 25064 dont l’exploitation permettrait à un acteur malveillant authentifié d’injecter des requêtes SQL arbitraires via un paramètre spécifique, permettant ainsi l’accès aux métadonnées des courriers électroniques. Cette faille résulte d’un contrôle insuffisant d’un paramètre dans le point de terminaison SOAP du service ZimbraSync.
Cette vulnérabilité est classée critique, avec un score de sévérité de 9.8 selon le CVSS v3.1.
IMPACT :
- Atteinte à la confidentialité des données ;
- Atteinte à l’intégrité des données ;
- Déni de service.
SYSTÈMES AFFECTÉS :
- Zimbra Collaboration Suite 10.0.x antérieures à 10.0.12 ;
- Zimbra Collaboration Suite 10.1.x antérieures à 10.1.4.
MESURES À PRENDRE :
Mettre à jour Zimbra Collaboration Suite vers la dernière version stable.
RÉFÉRENCES :
