CVE-2026-33371｜Zimbra存在XML外部实体（XXE）漏洞

0x00 前言

Zimbra提供一套开源协同办公套件包括WebMail，日历，通信录，Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。

Zimbra的核心产品是Zimbra协作套件（Zimbra Collaboration Suite，简称ZCS）。除了它的核心功能是电子邮件和日程安排服务器，当然还包括许多其它的功能，就像是下一代的微软Exchange。

在电子邮件和日程安排之外，它还提供文档存储和编辑、即时消息以及一个全功能的管理控制台。ZCS同时也提供移动设备的支持，以及与部署于Windows、Linux或Apple操作系统中的桌面程序的同步功能。

0x01 漏洞描述

由于XML输入处理不当，Zimbra Exchange Web服务（EWS）SOAP接口中存在XML外部实体（XXE）漏洞。经过身份验证的攻击者可以提交精心设计的XML数据，这些数据由启用了外部实体解析的XML解析器处理，成功利用漏洞可能会导致服务器上敏感的本地文件泄漏。

0x02 CVE编号

CVE-2026-33371

0x03 影响版本

Zimbra Collaboration Suite 10.0
Zimbra Collaboration Suite 10.1

0x04 漏洞详情

https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.16#Security_Fixes

0x05 参考链接

https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.16#Security_Fixes