[技術文章] Zimbra OSE 10.1.16 安裝檔與 CVE-2025-66376 安全升級提醒

 

近期由於 CVE-2025-66376 漏洞被實際利用的趨勢明顯提升，美國 CISA 已將其列入已知遭利用漏洞清單（KEV），建議仍在使用 10.1.12 以下版本的朋友儘快升級。

Zimbra OSE (開源版) 自 9.0 起，原廠雖然持續維護 Open Core 的原始碼，但不再提供打包好的二進位安裝檔，使用者必須自行編譯打包才能安裝與升級。

我已完成 Zimbra OSE 10.1.16 的打包作業，並已在自己的正式主機上升級驗證，確認運作無誤，可供需要的朋友直接取用。

CVE-2025-66376 漏洞說明

CVE-2025-66376 是 Zimbra Collaboration Classic UI 中的儲存型跨站腳本（Stored XSS）漏洞，攻擊者可透過在 HTML 電子郵件中濫用 CSS @import 指令來注入惡意程式碼，使用者開啟郵件時即會執行任意 JavaScript。

該漏洞的 CVSS 評分依不同來源為 6.1（Medium）至 7.2（High），攻擊條件為遠端可利用、不需要登入，影響範圍涵蓋使用者工作階段劫持與郵件內容等敏感資料外洩。

受影響版本為 Zimbra Collaboration 10.0.0 ~ 10.0.17 與 10.1.0 ~ 10.1.12，須升級至 10.0.18 或 10.1.13 以上版本方可修補。

CISA 已列入已知遭利用漏洞

根據 iThome 報導，美國網路安全暨基礎設施安全局（CISA）已於 2026 年 3 月將 CVE-2025-66376 納入已知遭利用漏洞清單（Known Exploited Vulnerabilities, KEV），代表該漏洞已有實際攻擊案例，並要求相關機構於 2026 年 4 月 1 日前完成修補。

該漏洞由芬蘭國家網路安全中心（NCSC-FI）通報發現，攻擊者可透過特製的 HTML 電子郵件注入惡意程式碼，使用者在開啟郵件時即可能遭到工作階段劫持，進而導致郵件內容與敏感資料外洩。

務必注意，這個漏洞不需要使用者登入即可被觸發，只要收到含有惡意內容的郵件並以 Classic UI 開啟，即存在風險。

10.1.10 之後修復的其它 CVE

除了 CVE-2025-66376 之外，從 10.1.10 到 10.1.16 之間還修復了多項安全漏洞，以下一併整理：

• CVE-2025-68645（CVSS 8.8 High）
  RestFilter 中 /h/rest 端點未經驗證的本機檔案包含（LFI）漏洞，不需要登入即可遠端利用（修復於 10.1.13）
   
• CVE-2025-62763（CVSS 5.0 Medium）
  聊天代理設定中的伺服器端請求偽造 SSRF 漏洞（修復於 10.1.12）
   
• CVE-2025-67809
  Flickr Zimlet 中硬編碼的 API 憑證，已撤銷並移除（修復於 10.1.13）
   
• CVE-2026-33373 
  特定認證流程中缺少 CSRF 強制執行（修復於 10.1.13）
   
• CVE-2026-33368 
  Webmail /h/rest 反射型 XSS，不需要登入即可利用（修復於 10.1.16）
   
• CVE-2026-33369 
  Mailbox SOAP FolderAction 的 LDAP 注入漏洞，可竊取目錄敏感屬性（修復於 10.1.16）
   
• CVE-2026-33370 
  簡報檔案公開共享時的儲存型 XSS（修復於 10.1.16）
   
• CVE-2026-33371
  EWS SOAP 端點的 XXE 漏洞，可讀取伺服器本機檔案（修復於 10.1.16）
   
• CVE-2026-33372 
  CSRF Token 驗證瑕疵，Token 錯誤地從請求本體而非標頭接受（修復於 10.1.16）
   

下載與升級

Zimbra OSE（開源版）自 9.0 起，原廠不再提供打包好的二進位安裝檔，雖然原始碼仍以 Open Core 形式維護於 GitHub，但使用者必須自行編譯打包才能進行安裝或升級。

為了方便 Zimbra OSE 開源版的使用者，Jason Tools 已完成 10.1.16 版本的打包作業，提供 Ubuntu 20.04 與 Ubuntu 22.04 兩種平台的安裝檔，可至以下 GitHub Release 頁面直接下載：

• Zimbra OSE 10.1.16 安裝檔下載（GitHub）

下載後解開壓縮包，執行安裝程序即可進行升級，升級方式與過去相同。

結論

本次升級至 10.1.16 一次涵蓋了從 10.1.10 以來累積的多項安全修補，其中 CVE-2025-68645（CVSS 8.8）與 CVE-2025-66376（已被 CISA 列入 KEV）為最需要優先處理的兩個漏洞。

Jason Tools 已在自己的正式環境完成升級並驗證運作無誤，建議仍在使用 10.1.12 以下版本的朋友儘快升級，以降低遭受攻擊的風險。

參考資料

• CISA警告郵件伺服器Zimbra高風險漏洞已被用於攻擊，要求盡速修補 — iThome
  https://www.ithome.com.tw/news/174520
   
• NVD - CVE-2025-66376
  https://nvd.nist.gov/vuln/detail/CVE-2025-66376
   
• CVE Record - CVE-2025-66376
  https://www.cve.org/CVERecord?id=CVE-2025-66376
   
• Zimbra Security Advisories
  https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
   
• Zimbra OSE 10.1.16 安裝檔下載 — GitHub
  https://github.com/jasoncheng7115/zimbra-ose-build/releases/tag/10.1.16
   
• [技術文章] 自行建置 Zimbra OSE 9 二進位安裝包
  https://blog.jason.tools/2024/02/zimbra-ose-9-build-self.html