Zimbra 安全更新 – 修复 XSS、XXE 和 LDAP 注入漏洞

为了提高电子邮件服务器安全性，Zimbra 于 2026 年 2 月 4 日发布了 10.1.16 版本，解决了包括跨站脚本 (XSS)、XML 外部实体 (XXE) 和 LDAP 注入在内的高危漏洞。

该更新被标记为高危补丁严重性和部署风险，敦促管理员立即升级，以保护部署免受攻击。

针对网络威胁的强力修复。Zimbra 修复了其 Webmail和 Briefcase 文件共享功能中的 XSS 漏洞。

攻击者可以通过未经处理的输入注入恶意脚本，从而窃取用户会话或数据。

现在，增强的输入验证功能可以阻止这些攻击，在不降低原有保护措施的前提下，恢复邮件渲染的稳定性。此外，Exchange Web Services (EWS) SOAP 端点中的一个 XXE 漏洞也得到了修复。

XXE漏洞允许攻击者解析恶意XML，通过扩展外部实体来读取服务器文件或触发拒绝服务（DoS）攻击。Zimbra加强了XML解析安全，防止实体扩展，从而确保EWS安全运行。



经过身份验证的 LDAP 注入是另一种修复方案。糟糕的输入清理机制使得拥有有效登录信息的攻击者能够操纵 LDAP 查询，从而可能提升权限或提取敏感目录数据。

安全方面的额外改进包括：在经典用户界面中恢复了带有安全防护措施的 PDF 预览功能，以及通过令牌验证增强了 CSRF 防护。这些改进弥补了可能导致未经授权操作的漏洞。

除了安全性之外，Zimbra 10.1.16 还通过 Zstandard 压缩将备份和恢复性能提高了 50%，减少了 45% 的存储空间，并对 S3/外部存储进行了重复数据删除。

Modern Web App 新增了邮件翻译功能（仅限 Chrome）、更智能的搜索功能、自定义标签颜色以及 Zoom 集成。此外，它还支持 Ubuntu 24 测试版，但建议生产环境跳过此版本。

本次更新修复了 ActiveSync、EWS、Chat 和 Zimbra Desktop 中的 20 多个错误，显著提升了系统稳定性。完整的版本说明和管理员指南详细介绍了此次升级。

管理员请注意：由于部署风险较高，建议先在测试环境中进行测试。Zimbra 的路线图显示，2026 年将推出更多功能。欢迎访问 pm.zimbra.com 提供反馈意见。

此次补丁凸显了及时更新在网络安全中的重要作用。延迟发布补丁会招致安全漏洞；Zimbra 的迅速响应树立了良好的榜样。