Tech Blog

2026-01-23 opencve vulnerability

Kritische LFI-Lücke in Zimbra Collaboration Server CVE-2025-68645

⚠️ CVE-Referenzen: CVE-2025-68645

Zusammenfassung

Eine schwerwiegende Sicherheitslücke in Zimbra Collaboration Server 10.0 und 10.1 erlaubt es Angreifern, ohne Authentifizierung beliebige Dateien aus dem WebRoot-Verzeichnis einzubinden. Die Schwachstelle betrifft den RestFilter-Servlet und kann für Local File Inclusion (LFI) ausgenutzt werden. Betroffene Admins sollten dringend ein Update auf eine nicht betroffene Version installieren.

A Local File Inclusion (LFI) vulnerability exists in the Webmail Classic UI of Zimbra Collaboration (ZCS) 10.0 and 10.1 because of improper handling of user-supplied request parameters in the RestFilter servlet. An unauthenticated remote attacker can craft requests to the /h/rest endpoint to influence internal request dispatching, allowing inclusion of arbitrary files from the WebRoot directory.

Quelle: app.opencve.io

Originalartikel lesen →

← Zurück zur Übersicht