Zimbra, PoC pubblico per la CVE‑2025‑68645
Rilevata la disponibilità di un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE‑2025‑68645 in Zimbra Collaboration Suite (ZCS), già corretta dal vendor ma ancora largamente presente su istanze non aggiornate. Si tratta di una falla di tipo Local File Inclusion (LFI) nella Webmail Classic UI, con punteggio CVSS 8,8 e impatto sistemico alto, che può consentire l’accesso a informazioni sensibili sui sistemi esposti.
La vulnerabilità risiede nella gestione non corretta dei parametri di richiesta all’interno del servlet RestFilter sull’endpoint /h/rest, che permette a un attaccante non autenticato di includere o leggere file all’interno della WebRoot e, in alcuni scenari, di caricare web shell o altri artefatti malevoli. Oltre alla lettura di configurazioni e credenziali, lo sfruttamento può abilitare movimenti laterali e una compromissione più ampia dell’infrastruttura di posta, con gravi impatti su riservatezza e integrità dei dati.
Zimbra ha rilasciato le patch correttive nelle versioni 10.0.18 e 10.1.13 a inizio novembre 2025, ma risultano tuttora numerose installazioni esposte nelle release 10.0.0–10.0.17 e 10.1.0–10.1.12. Diversi osservatori di sicurezza segnalano che la vulnerabilità è ormai sfruttata attivamente, anche a seguito della pubblicazione del PoC e del suo inserimento nei cataloghi di vulnerabilità sfruttate note (KEV), con un forte incremento dei tentativi di attacco verso i server Zimbra su Internet.