漏洞关键信息总结 漏洞概述 本次发布(Zimbra Daffodil 10.0.18)主要修复了以下安全漏洞: 1. 存储型 XSS 漏洞:在 Classic UI 中存在,攻击者可通过滥用电子邮件 HTML 中的 CSS 指令进行攻击。 2. 路径验证缺失:在 API 中缺少路径验证,导致可能进行不安全的文件导出。 3. CSRF 保护缺失:在特定的认证流程中缺少 CSRF(跨站请求伪造)保护。 4. 本地文件包含 (LFI):在 中存在未认证的本地文件包含漏洞。 影响范围 (CVE-ID) CVE-2025-66376: 对应 Classic UI 存储型 XSS 漏洞 (CVSS Score: TBD)。 NA: 对应 ExportAndDeleteItemsRequest API 路径验证问题 (CVSS Score: NA)。 CVE-2026-33373: 对应特定认证流程中的 CSRF 问题 (CVSS Score: TBD)。 CVE-2025-66645: 对应 RestFilter 中的 LFI 漏洞 (CVSS Score: TBD)。 修复方案 1. 版本升级:将系统升级至 Zimbra Daffodil 10.0.18 版本。 2. 组件升级: ClamAV 包从 1.0.6 升级至 1.4.3。 Jetty 包从 9.4.46.v20220331 升级至 9.4.57.v20241219。 3. 具体包更新: -> 10.0.18.1761913921-1 -> 10.0.18.1761913921-1 -> 10.0.18.1759693082-1 -> 10.0.18.1761912336-1 -> 10.0.18.1761913154-1 -> 10.0.18.1759856941-1 -> 10.0.18.1761926764-2 -> 10.0.18.1761926764-1 -> 10.0.18.1761926764-1 -> 10.0.18.1761926764-1 -> 10.0.18.1761926764-1 -> 4.49.2.1759913548-1 -> 4.49.2.1759913548-1 -> 1760359146-1 -> 1.4.3-121mbra8.8b4 -> 1.6.6-121mbra8.7b3 -> 10.0.1-121mbra8.8b1 -> 9.4.57.v20241219-2 POC/利用代码 截图中未包含具体的 POC 代码或利用脚本。