Besonders kritisch sind zwei aktuelle Sicherheitslücken in den Zimbra-Versionen 10.0 und 10.1. Die File-Inclusion-Schwachstelle CVE-2025-68645 ermöglicht Angreifern ohne Anmeldung das Einbinden beliebiger Dateien über den API-Endpunkt. Mit einem CVSS-Wert von 8.8 gilt sie als hochriskant. Eine weitere Stored-Cross-Site-Scripting-Lücke in der Classic-Benutzeroberfläche kann über manipulierte HTML-E-Mails ausgenutzt werden.
Beide Sicherheitslücken wurden in den Zimbra-Versionen 10.0.18 und 10.1.13 vom November bereits geschlossen. Dennoch nutzen offenbar nur 60 Prozent der deutschen Zimbra-Server diese aktuellen Versionen. Das BSI appelliert eindringlich an Administratoren, ihre Systeme umgehend zu aktualisieren. Die Behörde hatte bereits im Oktober vor über 30.000 veralteten Exchange-Servern in Deutschland gewarnt und setzt ihre Bemühungen nun bei alternativen Groupware-Lösungen fort.