Zimbraは2025年10月16日、チャットプロキシ設定に起因する重大なサーバーサイド・リクエスト・フォージェリ(SSRF)脆弱性を修正する緊急パッチ「Zimbra 10.1.12」を公開しました。ベンダーは、10.1.5~10.1.11 を利用中のすべてのユーザーと管理者に対し、直ちにアップデートするよう強く推奨しています。パッチのセキュリティ深刻度は「High」、導入リスクは「Low」と案内されています。
何が問題か
本脆弱性はチャットプロキシの設定処理に起因し、サーバーに内部・外部宛の不正リクエストを送らせる可能性があります。攻撃者に悪用された場合、以下のリスクが生じます。
-
内部ネットワーク資源へのアクセス
-
メタデータや内部情報の取得
-
サーバーを踏み台としたさらなる攻撃、情報流出やサービス障害
対象・影響
-
対象バージョン:Zimbra 10.1.5~10.1.11
-
修正バージョン:Zimbra 10.1.12(2025年10月16日リリース)
-
参考:Zimbraは今年、ZCS 9.0/10.0/10.1の一部に影響するXSS(CVE-2025-27915)も報告されており、未適用環境が狙われる事例が続いています。
管理者が今すぐ行うこと
-
10.1.12へ更新(10.1.5~10.1.11からの更新を最優先)。
-
10.1.3以前から更新する場合は、事前に 最新の
zimbra-lds-patchを適用してください。 -
アップグレード後、ライセンスの再有効化が求められるため、以下を実行します:
-
マルチサーバー構成では、プロキシノードのみ バージョン表記が10.1.12となり、他ノードは10.1.11の表示が残る場合があります(挙動は仕様どおりです)。
運用上の注意
-
外部公開しているプロキシや管理インターフェースに対しては、ネットワーク制御(到達制限・WAF・リバースプロキシの厳格化)を徹底してください。
-
更新後は、外向きリクエストのログ、プロキシ設定、アクセス制御リスト(ACL)に不審な変更がないか点検してください。
-
既知の悪用手口に備え、ICSファイル等を介したスクリプト実行の防止設定やコンテンツ検証も見直してください。








