SI-CERT 2025-05 / Kritična ranljivost Roundcube Webmail

Povzetek

NIST je 2.6.2025 izdal obvestil o kritični ranljivosti CVE-2025-49113 sistema Roundcube Webmail. Ranljivost omogoča avtenticiranemu uporabniku izvajanje poljubne kode na sistemu. POC (proof-of-concept) koda za izrabo ranljivosti naj bi bila že javno objavljena, zato svetujemo takojšnje ukrepanje.

Podatki o ranljivosti

Roundcube Webmail je priljubljen odprtokodni spletni vmesnik za elektronsko pošto. Verzije pred 1.5.10 ter različice 1.6.x pred 1.6.11 vsebujejo kritično ranljivost z oznako CVE-2025-49113, ker parameter _from v URL naslovu ni ustrezno preverjen v datoteki program/actions/settings/upload.php, kar omogoča PHP deserializacijo (Object Deserialization). Izraba ranljivosti napadalcem omogoča izvajanje poljubne kode na sistemu. CVSS ocena ranljivosti je 9,9 (od maksimalno 10).

Ranljive verzije

Roundcube Webmail pred verzijo 1.5.10 ter verzije 1.6.x pred 1.6.11.

Priporočeni ukrepi

Proizvajalec je že izdal popravke ranljivosti. Skrbnikom sistema svetujemo takojšnjo nadgradnjo sistema. V primeru zaznave izrabe ranljivosti to sporočite na SI-CERT.

Zunanji viri

• https://nvd.nist.gov/vuln/detail/CVE-2025-49113
• https://vulnerability.circl.lu/vuln/CVE-2025-49113
• https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
• https://fearsoff.org/research/roundcube