[TLP:CLEAR] Zimbra opravuje 2 zraniteľnosti
Zimbra verziami 10.0.18 a 10.1.13 opravuje 2 zraniteľnosti v produkte Zimbra Collaboration [1][2].
Neautentizovanému vzdialenému útočníkovi je umožnené v Classic UI, prostredníctvom špeciálne upravenej HTML e-mailovej správy, vykonať uložený XSS útok [1].
Zraniteľnosť sa nachádza v produkte Zimbra Collaboration vo verziách (>=10.0 AND <10.0.18) OR (>=10.1 AND <10.1.13).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
Viac informácií:
- CVE-2025-66376 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 5. 1. 2026.
Neautentizovaný vzdialený útočník môže zneužiť pevne zakódovaný API kľúč rozšírenia Flickr a vydávať sa za toto rozšírenie pri OAuth autentizácii. Po schválení požiadavky používateľom môže dôjsť k sprístupneniu jeho údajov [2].
Zraniteľnosť sa nachádza v produkte Zimbra Collaboration (ZCS) vo verziách >=10.0 AND <10.1.13.
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N
Viac informácií:
- CVE-2025-67809 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-798: Use of Hard-coded Credentials at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 15. 12. 2025.
Odkazy
Za CESNET-CERTS Henrieta Paločková dňa 6. 1. 2026.
