A agência americana CISA adicionou quatro falhas ao seu catálogo Known Exploited Vulnerabilities (KEV), citando evidências de exploração ativa. Entre elas está a CVE-2025-68645, com pontuação CVSS 8.8, que afeta o Synacor Zimbra Collaboration Suite (ZCS).
O que a inclusão no KEV significa
A inclusão no KEV indica que a vulnerabilidade tem evidências de exploração em ambientes reais e, por isso, recebe maior prioridade operacional para mitigação por parte de órgãos e fornecedores. A The Hacker News reporta que a CISA atualizou o catálogo com quatro entradas e explicitamente cita exploração ativa como fator para a inclusão.
Detalhes conhecidos
- CVE-2025-68645 — descrita pela reportagem como uma vulnerabilidade de inclusão remota de arquivo (PHP remote file inclusion) no Synacor Zimbra Collaboration Suite (ZCS), com CVSS 8.8.
- As outras três vulnerabilidades adicionadas ao KEV não estão detalhadas no resumo disponível da fonte que utilizamos.
Impacto e prioridades
Uma RFI (remote file inclusion) em um webmail/collaboration suite pode permitir execução remota de código, exfiltração de dados ou comprometer sessões de usuários, dependendo da arquitetura e das proteções presentes. Dada a presença de exploração ativa e a pontuação CVSS elevada reportada para a CVE mencionada, organizações que usam Zimbra devem tratar a questão como de alta prioridade.
Recomendações práticas
- Verificar se o ambiente utiliza Synacor Zimbra Collaboration Suite (ZCS) e identificar versões em produção.
- Aplicar correções e mitigantes fornecidos pelo fornecedor assim que estiverem disponíveis; seguir orientações do advisory da Synacor quando publicado.
- Implementar controles compensatórios: restringir o acesso ao painel administrativo, usar WAF para inspeção de payloads web e monitorar servidores web por uploads/execuções suspeitas.
- Consultar o catálogo KEV da CISA para detalhes e IOCs que possam acompanhar cada entrada.
Limitações das informações
A reportagem do The Hacker News resume a inclusão das quatro falhas no KEV e fornece informação específica apenas sobre a CVE-2025-68645 (Zimbra). Não há, no resumo disponível, detalhes sobre as outras três vulnerabilidades, nem links diretos a advisories dos fornecedores ou instruções técnicas detalhadas. Equipes de segurança devem buscar os advisories originais da CISA e dos fornecedores para ações corretivas.
Repercussão
A atualização do KEV por parte da CISA tende a acionar respostas rápidas de equipes de segurança e operações em entidades que seguem o catálogo como referência para patching prioritário. É esperado que fornecedores afetados publiquem advisories e, possivelmente, patches nas próximas horas/dias; até que haja correção, mitigantes de rede e detecção comportamental são medidas cruciais.
The Hacker News — reportagem (23/01/2026).