CVE-2025-68645

Synacor Zimbra Collaboration Suite (ZCS)

Critical Alert
Дата обнаружения

2026-01-22

Официальное описание (CISA)

Synacor Zimbra Collaboration Suite (ZCS) contains a PHP remote file inclusion vulnerability that could allow for remote attackers to craft requests to the /h/rest endpoint to influence internal request dispatching, allowing inclusion of arbitrary files from the WebRoot directory.

🤖
AI Security Analysis & Fix

🧐 Суть уязвимости

Уязвимость (CVE-2025-68645) в Synacor Zimbra Collaboration Suite (ZCS) — это уязвимость включения удаленного файла (RFI) в PHP. Атакующий может отправить специально сформированный HTTP-запрос к общедоступному эндпоинту /h/rest. Это позволяет повлиять на внутреннюю маршрутизацию запросов в системе и заставить сервер включить и выполнить произвольный PHP-файл из директории WebRoot (например, /opt/zimbra/jetty/webapps/zimbra/). В результате злоумышленник может выполнить произвольный код на сервере Zimbra с правами пользователя, от которого работает веб-сервис (обычно zimbra).

🛠️ Как исправить

Установите официальный патч от Synacor. Обновите Zimbra Collaboration Suite до версии, в которой уязвимость устранена.

  1. Определите текущую версию ZCS: bash su - zimbra zmcontrol -v

  2. Загрузите и установите патч:

    • Перейдите на официальный портал поддержки Synacor: https://www.zimbra.com/support/security-center/
    • Найдите и скачайте патч или инсталлятор для вашей версии ZCS, который содержит исправление для CVE-2025-68645. Обычно это версии 9.0.0 Patch X или 8.8.15 Patch Y и новее (конкретные номера патчей уточняйте в Security Center).
    • Остановите Zimbra перед обновлением: bash su - zimbra zmcontrol stop exit
    • Установите обновление, следуя официальной инструкции Synacor. Например, для установки из .tgz архива: bash cd /tmp tar xzf zcs-*.tgz cd zcs-* ./install.sh --platform-override
    • Запустите Zimbra после обновления: bash su - zimbra zmcontrol start

🛡️ Временное решение

Если немедленная установка патча невозможна, примените следующие меры:

  1. Ограничьте доступ к эндпоинту /h/rest на уровне WAF (Web Application Firewall):

    • Настройте правило для блокировки всех запросов к пути /h/rest или строгое правило, разрешающее доступ только с доверенных IP-адресов (например, административных сетей).

  2. Настройте контроль доступа на веб-сервере (Apache/Nginx):

    • Для Nginx (конфиг виртуального хоста Zimbra) добавьте: nginx location ~ ^/h/rest { deny all; return 403; }
    • Для Apache (файл .htaccess или конфиг виртуального хоста) добавьте: apache <LocationMatch "^/h/rest"> Require all denied </LocationMatch>
    • После изменения конфигурации перезагрузите веб-сервер: bash # Для Nginx systemctl reload nginx # Для Apache systemctl reload apache2

Важно: Временные решения могут нарушить работу некоторых функций Zimbra, использующих этот эндпоинт. Протестируйте изменения в нерабочее время. Установка официального патча — единственный надежный способ устранения уязвимости.

Решение сгенерировано моделью Llama 3 на основе открытых источников. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей