支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2025-68645 基础信息
漏洞信息
                                        # N/A

## 概述

Zimbra Collaboration(ZCS)10.0 和 10.1 版本的 Webmail Classic UI 中存在一个本地文件包含(LFI)漏洞。

## 影响版本

- Zimbra Collaboration 10.0
- Zimbra Collaboration 10.1

## 细节

该漏洞是由于 RestFilter servlet 对用户提交的请求参数处理不当所致。攻击者可以构造针对 `/h/rest` 端点的请求,操控内部请求分发流程。

## 影响

未经身份验证的远程攻击者可利用此漏洞,强制包含 WebRoot 目录中的任意文件,可能导致敏感信息泄露或进一步的攻击。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A Local File Inclusion (LFI) vulnerability exists in the Webmail Classic UI of Zimbra Collaboration (ZCS) 10.0 and 10.1 because of improper handling of user-supplied request parameters in the RestFilter servlet. An unauthenticated remote attacker can craft requests to the /h/rest endpoint to influence internal request dispatching, allowing inclusion of arbitrary files from the WebRoot directory.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Zimbra Collaboration 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Zimbra Collaboration是Zimbra公司的一个开源企业级电子邮件与协作平台,支持邮件、日历、文档管理及团队协作功能。 Zimbra Collaboration 10.0版本和10.1版本存在安全漏洞,该漏洞源于RestFilter servlet处理用户输入不当,可能导致本地文件包含。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-68645 的公开POC
#POC 描述源链接神龙链接
1CVE-2025-68645https://github.com/Ashwesker/Blackash-CVE-2025-68645POC详情
2Zimbra Collaboration (ZCS) 10.0 and 10.1 contain a local file inclusion caused by improper handling of user-supplied parameters in the RestFilter servlet, letting unauthenticated remote attackers include arbitrary files from WebRoot, exploit requires crafted requests to /h/rest endpoint. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-68645.yamlPOC详情
3CVE-2025-68645https://github.com/Ashwesker/Ashwesker-CVE-2025-68645POC详情
4Academic proof-of-concept demonstrating CVE-2025-68645 for authorized security research.https://github.com/chinaxploiter/CVE-2025-68645-PoCPOC详情
5CVE-2025-68645 - A Local File Inclusion (LFI) vulnerability in the Webmail Classic UI of Zimbra Collaborationhttps://github.com/MaxMnMl/zimbramail-CVE-2025-68645-pocPOC详情
三、漏洞 CVE-2025-68645 的情报信息

  • 标题: Security Center - Zimbra :: Tech Center -- 🔗来源链接

    标签:

    Security Center - Zimbra :: Tech Center

  • 标题: Zimbra Responsible Disclosure Policy - Zimbra :: Tech Center -- 🔗来源链接

    标签:

    神龙速读:
                                            从这个网页截图中,可以获取到以下关于漏洞的关键信息:

1. **定义**:
   - **报告人**:发现漏洞的初始识别者,可以通过直接报告给Zimbra或通过责任协调员报告。
   - **协调员**:负责协调漏洞公开发布的信息的第三方。包括但不限于CERT/CC、ISA和CVE。
   - **供应商**:修复漏洞的软件或包含漏洞的软件的修复者,可能包括其他商业或开源软件开发者。
   - **用户**:软件的最终用户或管理员,包括商业和开源客户和合作伙伴。
   - **混合披露**:漏洞报告者在不立即公开漏洞知识的情况下,允许供应商在开发补丁后公开漏洞。
   - **认可**:对负责任的漏洞披露的公开认可。

2. **负责任披露和报告人认可政策**:
   - 报告人必须是漏洞的初始识别者。
   - 报告人必须仅向Zimbra或责任协调员报告漏洞。
   - Zimbra应在收到报告后的七个工作日内以个人回复而非自动回复的方式确认收到报告。
   - 报告人应提供所有技术信息和相关材料,包括硬件配置、其他应用程序安装、网络拓扑、防火墙规则等。
   - 报告人必须保护信息不泄露给外部各方,直到向供应商报告并最终公开发布。
   - 漏洞必须由Zimbra或责任协调员验证,并由CVSS评分。
   - Zimbra将继续通知报告人修复漏洞的进度。
   - 报告人必须在漏洞修复并公开发布后至少30天内保持漏洞细节的保密。
   - Zimbra将在漏洞修复并公开发布后30天内公开认可报告人。

3. **其他关键信息**:
   - Zimbra将修改、修订或更新此负责任披露政策,并在更新时发布。
   - 报告人应定期访问此页面以查看最新的政策版本。

这些信息详细描述了Zimbra的负责任披露政策,包括报告人、协调员、供应商、用户、混合披露和认可等关键角色和流程。
    Zimbra Responsible Disclosure Policy - Zimbra :: Tech Center
  • https://nvd.nist.gov/vuln/detail/CVE-2025-68645
四、漏洞 CVE-2025-68645 的评论

暂无评论

发表评论