Una vulnerabilidad crítica de falsificación de solicitud de sitios cruzados (CSRF) en las versiones de Zimbra Collaboration Server (ZCS) 9.0 a 10.1 permite a un atacante realizar operaciones Rogue GraphQL y acceder a los datos del usuario confidenciales cuando se rastrean como CVE-2025-32354.
El defecto reside en el punto final GraphQL (/Service/Extension/GraphQL) de la interfaz Webmail de Zimbra. Aquí, la validación inapropiada de token CSRF permite que un actor malicioso manipule a un usuario autenticado que active una acción no deseada.
Vulnerabilidades críticas de CSRF en los puntos finales de Zimbra GraphQL
Los ataques de CSRF aprovechan la confianza de las aplicaciones web en el navegador de usuarios autenticados. En este caso, la API GraphQL de Zimbra no tiene un token anti-CSRF, lo que permite que un atacante cree un correo electrónico que haga que la página web maliciosa o el navegador de la víctima envíe una solicitud de falsificación.
Por ejemplo, un atacante podría incrustar una forma oculta dirigida al punto final GraphQL de Zimbra de la siguiente manera:
Cambiar o exportar contactos. Cambie la configuración de su cuenta (por ejemplo, reglas de reenvío de correo electrónico). Elimina datos confidenciales, incluidos metadatos de correo electrónico y estructuras de carpetas.
La vulnerabilidad es particularmente severa ya que la API GraphQL de Zimbra maneja operaciones altamente efectivas sin verificaciones de autenticación secundaria.
La explotación de pruebas de concepto demostró que una sola solicitud de publicación HTTP maliciosa podría dañar su cuenta si la víctima accede a una página atrapada en un tope mientras inicia sesión en Zimbra.
El equipo de seguridad de Zimbra elogió al investigador 0xf4h1m por descubrir los defectos a través de la iniciativa de cero día.
Factores de riesgo Detalles Productos Atejados de la colaboración de Zimbra (ZCS) 9.0-10.1 Operación de GraphQL de impactación de impactantes: los atacantes deben cambiar los contactos, cambiar la configuración de la cuenta, reconocer los requisitos previos de los requisitos previos de acceso para usuarios sensibles Datos DataSploit y visitar sitios web maliciosos (ataques CSRF a través de ataques CSRF).
Versiones y mitigación afectadas
Zimbra ha identificado el impacto de todos los lanzamientos de ZCS en las vulnerabilidades entre 9.0 y 10.1.3. Los parches están disponibles con ZCS 10.1.4. Esto realizará la validación del token CSRF para todas las solicitudes GraphQL. Los administradores que no pueden actualizar de inmediato pueden reducir los siguientes riesgos:
Desactive el método Get en GraphQL a través del parámetro de configuración local Zimbra_GQL_enable_Dangeroy_Depreced_Get_Method_Will_Be_Removed Local. Implementación de reglas de proxy inversa para bloquear las mutaciones GRAPHQL incorrectas. Educar a los usuarios para que no hagan clic en enlaces no confiables mientras se autentican.
El asesoramiento de la Compañía insta a los administradores a priorizar las actualizaciones, señalando que “las vulnerabilidades de CSRF en los sistemas de correo electrónico de misión crítica crean oportunidades para el movimiento lateral de redes empresariales”.
Con Zimbra impulsando más de 200,000 servidores de correo empresarial en todo el mundo, las instancias acumuladas siguen siendo el objetivo principal para las campañas de phishing y la eliminación de datos.
A medida que las empresas dependen cada vez más de las API para la integración, las rigurosas pruebas de seguridad de los mecanismos de autenticación se vuelven innegotiables.
Los administradores de Zimbra deben aplicar inmediatamente parches y considerar soluciones de monitoreo de terceros para detectar una actividad GRAPHQL inusual.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
