Zimbra Daffodil (v10.1.13) 安全修复总结 1. 漏洞概述 本次更新主要修复了以下关键安全漏洞: 存储型 XSS (Classic UI): 攻击者可在邮件 HTML 中滥用 CSS 指令。 凭证泄露: Flickr Zimlet 中存在硬编码的 Flickr API 凭证。 路径遍历/不安全文件导出: API 缺乏路径验证。 CSRF (跨站请求伪造): 特定认证流程中缺失 CSRF 强制检查。 未授权本地文件包含 (LFI): 中存在未授权访问漏洞。 PDF 预览 XSS: Classic Web App 中的 PDF 预览功能存在存储型 XSS 风险。 信息泄露: 在畸形请求下可能泄露内部错误。 账户枚举: 存在管理员账户枚举问题。 依赖库风险: Apache HttpClient 库版本较低。 2. 影响范围 (CVE & CVSS) 3. 修复方案 Classic UI XSS: 修复了 Classic UI 中的存储型 XSS 漏洞。 凭证管理: 撤销并从 Flickr Zimlet 中移除了硬编码的 Flickr API 凭证。 API 安全: 在 API 中引入了路径验证,防止不安全的文件导出。 CSRF 修复: 解决了特定认证流程中缺失的 CSRF 强制问题。 LFI 修复: 解决了 中的未授权本地文件包含漏洞。 功能移除: 移除了 Classic Web App 中的 PDF 预览选项,以消除与 PDF 附件相关的存储型 XSS 风险(改为直接下载)。 输入验证: 在 中添加了输入验证和空值检查,防止内部错误泄露。 账户安全: 解决了管理员账户枚举问题。 依赖升级: 将 Apache HttpClient 库升级至版本 4.5.14。 4. POC/利用代码 页面中未包含具体的 POC 代码或利用代码。 页面底部的 "Packages" 部分仅列出了升级后的依赖库版本列表(如 , , 等),非利用代码。