Уязвимость BDU:2025-12727

Идентификатор: BDU:2025-12727.
Наименование уязвимости: Уязвимость встроенного веб-клиента GraphQL корпоративной системы управления электронной почтой Zimbra Collaboration Suite (ZCS), позволяющая нарушителю осуществить CSRF-атаку и раскрыть защищаемую информацию.
Описание уязвимости: Уязвимость встроенного веб-клиента GraphQL корпоративной системы управления электронной почтой Zimbra Collaboration Suite (ZCS) связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить CSRF-атаку и раскрыть защищаемую информацию
Уязвимое ПО: Сетевое средство, Сетевое программное средство Zimbra Inc. Zimbra Collaboration Suite от 9.0 до 10.1 включительно |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 29.04.2025.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,5)
Возможные меры по устранению:
Использование рекомендаций производителя:
https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.4#Security_Fixes.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-32354.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://nvd.nist.gov/vuln/detail/CVE-2025-32354
https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.4#Security_Fixes
https://wiki.zimbra.com/wiki/Zimbra_Responsible_Disclosure_Policy



