【漏洞预警】Zimbra Collaboration Suite /h javax.servlet.include.path_info 文件包含漏洞（CVE-2025-68645）

漏洞名称：Zimbra Collaboration Suite /h javax.servlet.include.path_info 文件包含漏洞（CVE-2025-68645）

风险等级：

高风险

漏洞描述：

Zimbra Collaboration Suite (ZCS) 是一款功能强大的开源企业级电子邮件与协作平台。它集成了邮件、日历、联系人、任务管理以及文档共享等功能，并支持通过 Web 端（包括 Classic UI 经典界面和 Modern UI 现代界面）及移动设备进行访问。Zimbra 以其高度的可定制性、支持群组协作及与第三方服务的集成能力，在全球政府、教育机构和各类企业中拥有广泛的部署基础。

该漏洞源于 RestFilter servlet 对请求参数过滤不严格，未经身份验证的远程攻击者可以构造恶意路径参数，获取服务器 WebRoot 目录下的敏感文件。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

FOFA自检语句：

app="zimbra-邮件系统"

受影响版本：

Zimbra Collaboration Suite 10.0 < 10.0.18

Zimbra Collaboration Suite 10.1 < 10.1.13

临时修复方案：

官方已发布安全补丁，请及时更新至最新版本：

Zimbra Collaboration Suite 10.0 >= 10.0.18

Zimbra Collaboration Suite 10.1 >= 10.1.13

下载地址：

https://wiki.zimbra.com/wiki/Security_Center

漏洞检测工具：

鉴于该漏洞影响范围较大，建议优先处置排查，Goby EXP效果如视频演示如下：