更新時間:2026/01/23 16:43:20
發佈時間:2026/01/23 16:43:20
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1] [2]
Zimbra於11月06日發布安全公告,說明Zimbra Collaboration Suite的Webmail Classic UI中存在重大本機檔案包含漏洞(Local File Inclusion,LFI) CVE-2025-68645。該漏洞源於RestFilter Servlet處理請求轉送(request dispatch)時缺乏適當的限制機制,導致未經身分驗證的遠端攻擊者可對 /h/rest 端點送出特製請求,進而影響內部請求處理流程,造成 WebRoot 目錄內檔案被未授權讀取的資訊外洩風險。
二、已揭露攻擊活動說明
1. CISA已加入漏洞利用清單。[3]
▶ 漏洞資訊
⌵
名稱:
CVE-2025-68645
描述:
使用版本:CVSS 3.0
分析分數:8.8
參考來源: NVD[4]
▶ 影響平台
⌵
影響平台-系統:
版本10.0低於10.0.18受影響,建議升級至10.0.18或以上版本。
版本10.1低於10.1.13受影響,建議升級至10.1.13或以上版本。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://wiki.zimbra.com/wiki/Zimbra_Foss_CVE_Commits | Zimbra |
| 2 | https://www.twcert.org.tw/tw/cp-169-10593-468c8-1.html | TWCERT/CC |
| 3 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-68645 | CISA |
| 4 | https://nvd.nist.gov/vuln/detail/CVE-2025-68645 | NVD |
情資編號:
FISAC-200-202601-0010
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞