Kolejna krytyczna podatność w oprogramowaniu Roundcube umożliwiająca zdalne wykonanie kodu
CSIRT CeZ kilka dni temu informował o wykryciu krytycznej podatności (CVE-2024-42009) w kliencie poczty webmail Roundcube. Teraz ponownie mamy do czynienia z wystąpieniem kolejnej krytycznej podatności w tym oprogramowaniu. Została ona oceniona na 9.9 w skali CVSS. Jest to podatność typu remote code execution (RCE), która pozwala atakującemu na zdalne wykonanie kodu.
Czego dotyczy podatność?
- Krytyczna podatność CVE-2025-49113 dotyczy klienta poczty webmail Roundcube
- CVSS: 9,9 Critical
- CVSS Score: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Jak działa podatność?
Podatność umożliwia atakującemu zdalne wykonywanie kodu (RCE). Jest to możliwe poprzez wykorzystanie uwierzytelnionego użytkownika. Powodem tego jest brak weryfikacji parametru _from w adresie URL w program/actions/settings/upload.php, co prowadzi do deserializacji obiektu PHP.
Podatne systemy
- Roundcube w wersji do 1.5.10
- Roundcube w wersji 1.6.x do 1.6.11
Działania zapobiegawcze
- Należy niezwłocznie zaktualizować Roundcube do wersji 1.5.10 lub 1.6.11, w których podatność została usunięta.
- W związku z opisywaną ostatnio przez zespół CSIRT CeZ podatnością CVE-2024-42009 wykorzystującą atak XSS, zalecamy dodatkowo po wykonaniu aktualizacji do:
- Zmiany hasła do poczty oraz wyczyszczenie danych strony Roundcube w przeglądarce
- Rozważenia wdrożenia dodatkowych zabezpieczeń, takich jak Web Application Firewall (WAF) oraz edukację użytkowników w zakresie zagrożeń XSS