O vulnerabilitate veche de 10 ani în Roundcube permite executarea de coduri malițioase

Specialiștii în domeniul securității cibernetice au dezvăluit detalii despre o vulnerabilitate de securitate critică în software-ul de webmail Roundcube, ce a rămas neobservată timp de un deceniu și care ar putea fi exploatată pentru a prelua controlul asupra sistemelor sensibile și a executa cod arbitrar.

Vulnerabilitatea, identificată ca CVE-2025-49113, prezintă un scor CvSS de 9.9/10 și un grad de severitate critic. Aceasta a fost descrisă ca o eroare de executare a codului de la distanță post-autentificată prin deserializarea obiectelor PHP.

Versiunile înainte de 1.5.10 și 1.6.x din Roundcube Webmail permit executarea de cod de la distanță către utilizatorii autentificați deoarece parametrul _from dintr-o adresă URL nu este validat în program/actions/settings/upload.php, ceea ce duce la procesul de deserializare a obiectelor PHP.

Vulnerabilitatea, ce afectează toate versiunile software-ului anterioare și inclusiv versiunea 1.6.10, a fost remediată în versiunile 1.6.11 și 1.5.10 LTS.

Anul trecut, o grupare de atacatori neidentificați au încercat să exploateze o vulnerabilitate a Roundcube (CVE-2024-37383) ca parte a unui atac de phishing menit să sustragă credențialele utilizatorilor.

Se recomandă cu tărie actualizarea la cea mai recentă versiune disponibilă a software-ului webmail Roundcube cât mai curând posibil.

Sursă: https://thehackernews.com/2025/06/critical-10-year-old-roundcube-webmail.html