Zimbra Collaboration 10.0.x < 10.0.18 / 10.1.x < 10.1.13 本地文件包含
high Web App Scanning 插件 ID 115122
语言:
简介
Zimbra Collaboration 10.0.x < 10.0.18 / 10.1.x < 10.1.13 本地文件包含描述
Zimbra Collaboration 10.0.18 和 10.1.13 之前的版本在 Webmail Classic UI 中容易受到本地文件包含 (LFI) 漏洞影响,这是未正确处理用户在 RestFilter servlet 中提供的请求参数所致。未经身份验证的远程攻击者可通过构建针对 /h/rest 端点的请求来利用此漏洞,从而导致包含 WebRoot 目录中的任意文件。解决方案
升级到 Zimbra 10.0.18 或 10.1.13 或更高版本。另见
https://wiki.zimbra.com/wiki/Security_Center
https://wiki.zimbra.com/wiki/Zimbra_Responsible_Disclosure_Policy
插件详情
严重性: High
ID: 115122
类型: remote
发布时间: 2026/1/27
最近更新时间: 2026/1/28
扫描模板: basic, full, pci, scan
风险信息
VPR
风险因素: High
分数: 8.4
CVSS v2
风险因素: Critical
基本分数: 10
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2025-68645
CVSS v3
风险因素: High
基本分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVSS 分数来源: CVE-2025-68645
漏洞信息
CPE: cpe:2.3:a:synacor:zimbra_collaboration_suite:*:*:*:*:*:*:*:*
可利用: true
易利用性: Exploits are available
补丁发布日期: 2025/11/6
漏洞发布日期: 2025/12/21
CISA 已知可遭利用的漏洞到期日期: 2026/2/12
参考资料信息
CVE: CVE-2025-68645
CWE: 98
OWASP: 2010-A4, 2013-A4, 2013-A9, 2017-A5, 2017-A9, 2021-A3, 2021-A6, 2025-A5, 2025-A6
WASC: Remote File Inclusion
CAPEC: 193
DISA STIG: APSC-DV-002560, APSC-DV-002630
HIPAA: 164.306(a)(1), 164.306(a)(2)
ISO: 27001-A.14.2.5
NIST: sp800_53-CM-6b, sp800_53-SI-10
OWASP API: 2019-API7, 2019-API8, 2023-API8
OWASP ASVS: 4.0.2-12.3.3, 4.0.2-14.2.1