BSI: CERT-Bund bemängelt viele verwundbare Zimbra-Server

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Die Groupware Zimbra weist wie jede andere Software regelmäßig Sicherheitslücken auf, die durch aktualisierte Pakete geschlossen werden. So wurde erst diese Woche eine hochriskante Cross-Site-Scripting-Schwachstelle darin bekannt. Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) bemängelt jedoch, dass ein großer Anteil der rund 1500 in Deutschland stehenden Zimbra-Server noch einen alten, verwundbaren Softwarestand aufweist.

Die oberste IT-Sicherheitsbehörde Deutschlands schreibt dort: „Es wird – auch von uns – immer wieder auf Exchange-Server geschimpft, die noch mit veralteten und verwundbaren Versionen laufen“. Bei Alternativen wie Zimbra sehe es besser, aber auch nicht rosig aus. „Von den uns bekannten ca. 1500 Zimbra-Servern in Deutschland laufen aktuell 40% mit einer nicht mehr vom Hersteller unterstützten Version (10.0 und älter) oder sind noch für kritische Schwachstellen wie CVE-2025-68645 verwundbar.“

Zimbra: Aktuelle hochriskante Sicherheitslücken

Bei der genannten Schwachstelle handelt es sich um eine File-Inclusion-Lücke, bei der Angreifer aus dem Netz ohne Anmeldung sorgsam präparierte Anfragen an den API-Endpunkt „/h/rest“ richten und dadurch das Einbinden beliebiger Dateien aus dem Webroot-Verzeichnis erreichen können (CVE-2025-68645, CVSS 8.8, Risiko „hoch“). Betroffen sind Zimbra Collaboration (ZCS) 10.0 und 10.1. Erst in dieser Woche wurde zudem eine Stored-Cross-Site-Scripting-Lücke in der Classic-UI bekannt, die durch die „@import“-Direktive in HTML-E-Mails missbrauchbar ist (CVE-2025-66376, CVSS 7.2, Risiko „hoch“).

Auch diese Lücken betreffen Zimbra Collaboration (ZCS) 10.0 und 10.1, wobei die Zimbra-Versionen 10.0.18 und 10.1.13 aus dem November den sicherheitsrelevanten Fehler ausbessern. Auf diesem Stand sind offenbar lediglich 60 Prozent der Zimbra-Server, wie das BSI nun anmerkt. Admins sollten nicht lange fackeln, sondern zügig auf die jüngsten Versionen aktualisieren.

Über veraltete Exchange-Server beschwert sich das BSI regelmäßig seit vielen Jahren. Zuletzt hat die Behörde Ende Oktober davor gewarnt, dass noch mehr als 30.000 veraltete Exchange-Server mit nicht mehr unterstützten Versionen wie Exchange 2016 und 2019 in Deutschland im Netz erreichbar sind.

(dmk)