58/68 (IT) ประจำวันอังคารที่ 11 กุมภาพันธ์ 2568
Zimbra ได้ออกอัปเดตซอฟต์แวร์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่สำคัญ ที่หากถูกใช้ประโยชน์ได้สำเร็จอาจนำไปสู่การเปิดเผยข้อมูลได้ ที่หมายเลข CVE-2025-25064 มีคะแนน CVSS 9.8 โดยเป็นช่องโหว่ SQL Injection ใน ZimbraSync Service SOAP endpoint ที่กระทบเวอร์ชันก่อน 10.0.12 และ 10.1.4 ผู้โจมตีที่ได้รับการรับรองตัวตนสามารถใช้ช่องโหว่นี้ดึงข้อมูลเมตาดาต้าอีเมลได้โดยการปรับแต่งพารามิเตอร์ในคำขอ
Zimbra ยังได้แก้ไขช่องโหว่ Stored Cross-Site Scripting (XSS) ใน Zimbra Classic Web Client ที่ยังไม่ได้รับการกำหนด CVE แต่ได้รับการแก้ไขแล้วใน Patch 44 ของเวอร์ชัน 9.0.0, 10.0.13 และ 10.1.5 โดยบริษัทได้เพิ่มมาตรการตรวจสอบข้อมูลนำเข้าเพื่อป้องกันการโจมตี และอีกช่องโหว่ที่ได้รับการแก้ไขคือ CVE-2025-25065 มีคะแนน CVSS 5.3 ซึ่งเป็น Server-Side Request Forgery (SSRF) ใน RSS feed parser ที่อาจถูกใช้เพื่อเปลี่ยนเส้นทางการเชื่อมต่อไปยังจุดหมายภายในเครือข่ายโดยไม่ได้รับอนุญาต
Zimbra แนะนำให้ผู้ใช้งานอัปเดตเป็นเวอร์ชันล่าสุดของ Zimbra Collaboration ทันทีเพื่อป้องกันความเสี่ยงจากช่องโหว่เหล่านี้ โดยแพตช์แก้ไขมีให้ใช้งานแล้วใน Patch 43 ของเวอร์ชัน 9.0.0, 10.0.12 และ 10.1.4 สำหรับ SSRF และเวอร์ชันใหม่สำหรับช่องโหว่อื่น ๆ
แหล่งข่าว https://thehackernews.com/2025/02/zimbra-releases-security-updates-for.html
