# CVE-2025-71275 - Zimbra RCE via Command Injection SMTP no Serviço PostJournal > [!critical] CVSS 9.8 - Injeção de comandos no serviço PostJournal do Zimbra Collaboration Suite 8.8.15 via parâmetro RCPT TO em SMTP. Execução remota de código sem autenticação. Padrão recorrente no mesmo componente já explorado em CVE-2024-45519. Sem patch divulgado. ## Visão Geral O **CVE-2025-71275** é uma vulnerabilidade crítica (CVSS 9.8) de injeção de comandos no serviço **PostJournal** do [[_zimbra|Zimbra]] Collaboration Suite 8.8.15. A falha permite que atacantes remotos executem código arbitrário no servidor de e-mail por meio de manipulação do parâmetro `RCPT TO` em requisições SMTP, sem qualquer autenticação prévia. O Zimbra é amplamente utilizado em organizações governamentais e corporativas no Brasil e na América Latina, tornando este CVE especialmente relevante para a região. O padrão de vulnerabilidade é recorrente: o mesmo serviço PostJournal foi explorado em [[cve-2024-45519|CVE-2024-45519]], demonstrando fragilidade sistemática nesse componente. A ausência de patch divulgado no momento desta nota agrava o risco — organizações dependem exclusivamente de mitigações operacionais, como desabilitar o PostJournal quando não necessário e restringir acesso SMTP ao servidor por faixa de IPs confiáveis. Monitorar o portal oficial Zimbra para disponibilização de patch. ## Impacto Técnico - **RCE via SMTP:** injeção de comandos no sistema operacional via parâmetro `RCPT TO` sem autenticação - **Comprometimento do servidor de e-mail:** acesso ao conteúdo de e-mails, credenciais armazenadas e configurações do Zimbra - **Movimentação lateral:** uso do servidor Zimbra como ponto de entrada para a rede interna - **Exfiltração de comúnicações:** acesso a caixas postais, calendários e arquivos compartilhados **Versão afetada:** Zimbra Collaboration Suite 8.8.15. Sem patch divulgado — aplicar mitigações operacionais imediatamente. > [!latam] O Zimbra é a plataforma de e-mail corporativo mais utilizada por prefeituras, autarquias e universidades federais brasileiras. A ausência de patch torna a vulnerabilidade especialmente preocupante para o setor público, onde ciclos de atualização são lentos e o Zimbra frequentemente está exposto diretamente à internet. Organizações dos setores de **governo** e **educação** no Brasil devem avaliar mitigações imediatas. ## Técnicas e Mitigações **TTPs relacionadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1071-003-mail-protocols|T1071.003 - Mail Protocols]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] **CVEs relacionados no mesmo produto:** - [[cve-2024-45519|CVE-2024-45519]] - vulnerabilidade anterior no mesmo serviço PostJournal - [[cve-2023-37580|CVE-2023-37580]] - XSS Zimbra, histórico de falhas recorrentes **Mitigações:** - [[m1042-disable-or-remove-feature-or-program|M1042 - Disable or Remove Feature or Program]] - Desabilitar o serviço PostJournal se não estiver em uso - [[m1037-filter-network-traffic|M1037 - Filter Network Traffic]] - Restringir acesso SMTP ao servidor por faixa de IPs confiáveis - [[m1031-network-intrusion-prevention|M1031 - Network Intrusion Prevention]] - Monitorar tentativas de injeção via SMTP - [[m1051-update-software|M1051 - Update Software]] - Aplicar patch quando disponível no portal Zimbra **Setores em risco:** [[government]] · [[technology]] ## Referências - [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-71275)