# CVE-2025-68645 - Zimbra Collaboration Suite Remote File Inclusion > [!high] CVSS 8.8 - LFI/RFI no Zimbra via endpoint /h/rest · EPSS 98º percentil · Exploração ativa documentada ## Visão Geral A CVE-2025-68645 é uma vulnerabilidade de Remote/Local File Inclusion (RFI/LFI) no endpoint `/h/rest` do Zimbra Collaboration Suite, servidor de e-mail e colaboração corporativa amplamente utilizado em organizações de médio porte. A falha permite que um atacante autenticado com conta de baixo privilégio manipule parâmetros de servlet para incluir arquivos arbitrários do sistema, expondo credenciais, chaves privadas e configurações internas. Afeta as versões 10.0.x anteriores à 10.0.18 e 10.1.x anteriores à 10.1.13. O EPSS de 0.44 (98º percentil) reflete risco elevado de exploração real: a CrowdSec documentou campanha coordenada explorando esta CVE em conjunto com outras falhas do Zimbra contra organizações governamentais e de defesa. O histórico da plataforma como alvo recorrente de APTs - incluindo a [[cve-2025-68613|CVE-2025-68613]] explorada contra alvos LATAM - reforça a urgência de remediação. > [!latam] Relevância para Brasil e LATAM > O Zimbra tem presença significativa em universidades, órgãos governamentais municipais e estaduais, e pequenas e médias empresas no Brasil, muitas vezes executando versões desatualizadas com a interface webmail exposta públicamente. Diferente de plataformas comerciais como Microsoft 365, o Zimbra é frequentemente gerenciado por equipes sem recursos dedicados de segurança, aumentando a janela de exposição após divulgação de vulnerabilidades. ## Exploração A exploração envolve o envio de requisições HTTP ao endpoint `/h/rest` com parâmetros de inclusão de servlet (`javax.servlet.include.servlet_path`) apontando para arquivos locais sensíveis. O pré-requisito é uma sessão autenticada com conta de baixo privilégio - barreira baixa em ambientes corporativos com registro de usuários aberto. Embora PoCs públicos demonstrem LFI, em ambientes com upload de arquivos habilitado a escalada para RCE é possível. A técnica primária é [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] via interface webmail, com potencial progressão para [[t1552-unsecured-credentials|T1552 - Unsecured Credentials]] pela leitura de arquivos de configuração. A CrowdSec documentou campanhas coordenadas explorando esta CVE junto com [[cve-2025-66376|CVE-2025-66376]] contra alvos governamentais e de defesa. ## Impacto A exploração bem-sucedida pode resultar em leitura de arquivos sensíveis do servidor (credenciais, chaves privadas, tokens de sessão), divulgação de estrutura interna do sistema e - em condições específicas com upload habilitado - escalada para execução remota de código. Setores [[government|governo]] e [[education|educação]] são os mais expostos dado o perfil de adoção do Zimbra. ## Mitigação - Atualizar para Zimbra Collaboration Suite 10.0.18+ (série 10.0.x) ou 10.1.13+ (série 10.1.x) - Verificar versão atual: `zmcontrol -v` - Restringir acesso ao endpoint `/h/rest` via WAF ou firewall de aplicação - Monitorar logs do Zimbra para requisições com parâmetros `javax.servlet.include.*` suspeitos - Revisar e remover contas de usuário desnecessárias - a vulnerabilidade requer autenticação ## Referências - [NVD - CVE-2025-68645](https://nvd.nist.gov/vuln/detail/CVE-2025-68645) - CVEs relacionados Zimbra: [[cve-2025-68613|CVE-2025-68613]] · [[cve-2025-66376|CVE-2025-66376]] - TTPs: [[t1190-exploit-public-facing-application|T1190]] · [[t1083-file-and-directory-discovery|T1083]] · [[t1552-unsecured-credentials|T1552]]