Zimbra Daffodil 10.0.18 Security Update: XSS, LFI, CSRF, Path Traversal (CVE-2025-66376, CVE-2025-66645)

漏洞关键信息总结 漏洞概述 本次发布（Zimbra Daffodil 10.0.18）主要修复了以下安全漏洞： 1. 存储型 XSS 漏洞：在 Classic UI 中存在，攻击者可通过滥用电子邮件 HTML 中的 CSS 指令进行攻击。 2. 路径验证缺失：在 API 中缺少路径验证，导致可能进行不安全的文件导出。 3. CSRF 保护缺失：在特定的认证流程中缺少 CSRF（跨站请求伪造）保护。 4. 本地文件包含 (LFI)：在 中存在未认证的本地文件包含漏洞。 影响范围 (CVE-ID) CVE-2025-66376: 对应 Classic UI 存储型 XSS 漏洞 (CVSS Score: TBD)。 NA: 对应 ExportAndDeleteItemsRequest API 路径验证问题 (CVSS Score: NA)。 CVE-2026-33373: 对应特定认证流程中的 CSRF 问题 (CVSS Score: TBD)。 CVE-2025-66645: 对应 RestFilter 中的 LFI 漏洞 (CVSS Score: TBD)。 修复方案 1. 版本升级：将系统升级至 Zimbra Daffodil 10.0.18 版本。 2. 组件升级： ClamAV 包从 1.0.6 升级至 1.4.3。 Jetty 包从 9.4.46.v20220331 升级至 9.4.57.v20241219。 3. 具体包更新： -> 10.0.18.1761913921-1 -> 10.0.18.1761913921-1 -> 10.0.18.1759693082-1 -> 10.0.18.1761912336-1 -> 10.0.18.1761913154-1 -> 10.0.18.1759856941-1 -> 10.0.18.1761926764-2 -> 10.0.18.1761926764-1 -> 10.0.18.1761926764-1 -> 10.0.18.1761926764-1 -> 10.0.18.1761926764-1 -> 4.49.2.1759913548-1 -> 4.49.2.1759913548-1 -> 1760359146-1 -> 1.4.3-121mbra8.8b4 -> 1.6.6-121mbra8.7b3 -> 10.0.1-121mbra8.8b1 -> 9.4.57.v20241219-2 POC/利用代码 截图中未包含具体的 POC 代码或利用脚本。

目標達成 すべての支援者に感謝 — 100%達成しました！

Zimbra Daffodil 10.0.18 Security Update: XSS, LFI, CSRF, Path Traversal (CVE-2025-66376, CVE-2025-66645)

目標達成すべての支援者に感謝 — 100%達成しました！