Résumé
Le 7 juillet 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a émis une alerte concernant une faille de sécurité critique dans Synacor Zimbra Collaboration Suite (ZCS), une plateforme de messagerie et de collaboration utilisée par de nombreuses organisations.
Référencée sous CVE-2019-9621, cette vulnérabilité de type Server-Side Request Forgery (SSRF) permet à un attaquant distant, sans authentification, de manipuler le composant ProxyServlet de ZCS pour forcer le serveur à effectuer des requêtes HTTP non autorisées vers des ressources internes ou externes. Cette faille peut conduire à l’exécution de code malveillant à distance, compromettant ainsi la sécurité, la confidentialité et la disponibilité du système. Elle est activement exploitée dans la nature, ce qui en fait une menace très sérieuse.
Solutions
Il est fortement recommandé d’appliquer les correctifs fournis par Zimbra , notamment les mises à jour des versions suivantes : 8.7.11 Patch 10, 8.8.9 Patch 10, 8.8.10 Patch 8, et ultérieures.
La faille est activement exploitée : Oui
Details techniques
Score CVSS : 7.5
Risques : Exécution de code à distance, divulgation d’informations, compromission du système via SSRF.
Systèmes affectés
- Zimbra Collaboration Suite jusqu’à la version 8.6.0 (exclue)
- Versions 8.7.0 à 8.7.11 (exclue)
- Versions 8.8.0 à 8.8.10 (exclue)
Documentation
- Bulletin de sécurité Zimbra
https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
- Nist Details CVE
https://nvd.nist.gov/vuln/detail/cve-2019-9621
- CVE Details
https://www.cvedetails.com/cve/CVE-2019-9621/
- Reference CVE
https://www.cve.org/CVERecord?id=CVE-2019-9621