文章总结： CVE-2026-33371披露Zimbra协作套件10.0和10.1版本的EWSSOAP接口存在XXE漏洞，因XML输入处理不当导致，经身份验证的攻击者可利用该漏洞读取服务器本地敏感文件，建议及时关注官方安全更新。 综合评分： 58 文章分类： 漏洞预警,应用安全,WEB安全,漏洞分析

CVE-2026-33371｜Zimbra存在XML外部实体（XXE）漏洞

alicy alicy

信安百科

2026年3月25日 09:30 河北

0x00 前言

Zimbra提供一套开源协同办公套件包括WebMail，日历，通信录，Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。

Zimbra的核心产品是Zimbra协作套件（Zimbra Collaboration Suite，简称ZCS）。除了它的核心功能是电子邮件和日程安排服务器，当然还包括许多其它的功能，就像是下一代的微软Exchange。

在电子邮件和日程安排之外，它还提供文档存储和编辑、即时消息以及一个全功能的管理控制台。ZCS同时也提供移动设备的支持，以及与部署于Windows、Linux或Apple操作系统中的桌面程序的同步功能。

0x01 漏洞描述

由于XML输入处理不当，Zimbra Exchange Web服务（EWS）SOAP接口中存在XML外部实体（XXE）漏洞。经过身份验证的攻击者可以提交精心设计的XML数据，这些数据由启用了外部实体解析的XML解析器处理，成功利用漏洞可能会导致服务器上敏感的本地文件泄漏。

0x02 CVE编号

CVE-2026-33371

0x03 影响版本

Zimbra Collaboration Suite 10.0Zimbra Collaboration Suite 10.1

0x04 漏洞详情

https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.16#Security_Fixes

0x05 参考链接

https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.16#Security_Fixes

推荐阅读：

CVE-2025-68645｜Zimbra本地文件包含漏洞（POC）

CVE-2025-57833｜Django SQL 注入漏洞（POC）

CVE-2025-11001｜7-Zip远程代码执行漏洞（POC）

Ps：国内外安全热点分享，欢迎大家分享、转载，请保证文章的完整性。文章中出现敏感信息和侵权内容，请联系作者删除信息。信息安全任重道远，感谢您的支持！！！

本公众号的文章及工具仅提供学习参考，由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害，均由使用者本人负责,本公众号及文章作者不为此承担任何责任。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信安百科 alicy alicy《CVE-2026-33371｜Zimbra存在XML外部实体（XXE）漏洞》