Embora o Zimbra não tenha grandes ocorrências de vulnerabilidades no passado, foi descoberto no último mês de Março falhas de segurança no produto.
A vulnerabilidade XXE (XML External Entity) permite que um atacante consiga fazer a extração de arquivos do servidor Zimbra.
Em condições específicas é possível ao atacante recuperar o arquivo localconfig.xml por exemplo, que entre outras informações pode conter a senha do usuário zimbra gerada durante a instalação do software e ter todas suas permissões, o que seria um completo desastre para o serviço do Zimbra, devido à extensão dos danos que poderiam ser causados.
A vulnerabilidade SSRF (Server Side Request Forgery) permite que atacantes se utilizem de um servidor Zimbra vulnerável para execução de comandos remotos, realizando by-pass em regras de proteção do Firewall por exemplo. O servidor Zimbra pode ser utilizado até para execução de port-scan em servidores internos.
Para isso recomendamos fortemente a atualização do Zimbra para versões onde essas vulnerabilidades já foram corrigidas:
Abaixo segue o link e a transcrição da matéria: