Хакеры среагировали быстрее админов — рабочий эксплойт для Roundcube уже в сети
NewsMakerУязвимость десятилетней давности теперь в руках злоумышленников — и они не теряют времени.
Критическая уязвимость CVE-2025-49113 , обнаруженная в популярной системе веб-почты Roundcube, оказалась в арсенале киберпреступников всего через пару дней после выхода исправления . Злоумышленники оперативно проанализировали внесённые в код изменения, воспроизвели механизм атаки и начали продавать рабочий эксплойт на хакерских форумах. Проблема затрагивает версии Roundcube от 1.1.0 до 1.6.10 и сохранялась в коде более десяти лет.
Roundcube широко распространён в хостинг-среде и используется крупнейшими провайдерами, включая GoDaddy, Hostinger, Dreamhost и OVH. Также он входит в состав панелей управления вроде cPanel и Plesk, а потому активно применяется в образовательных, правительственных и технологических организациях по всему миру. По оценкам исследователей, число развёрнутых экземпляров превышает 1,2 миллиона.
Уязвимость представляет собой ошибку в обработке параметра
Исследователь Кирилл Фирсов, глава компании FearsOff, сообщил , что из-за активной эксплуатации он решил обнародовать технические детали уязвимости раньше окончания срока ответственного раскрытия. Хотя полноценный PoC опубликован не был, выложенной информации достаточно, чтобы понять суть уязвимости и механизм её использования.
В частности, он отметил, что злоумышленникам потребовалось всего несколько дней на реверс-инжиниринг исправления и создание рабочего эксплойта. Это подчёркивает, насколько опасным может быть временной зазор между выпуском обновления и его фактической установкой на уязвимых системах. На форумах эксплойт уже появился с пометкой, что для его использования необходимы действительные учётные данные.
По словам Фирсова, одна из компаний-брокеров уязвимостей готова платить до 50 тысяч долларов за рабочую цепочку эксплуатации данной проблемы. Он также подчеркнул, что при пентестах найти Roundcube-инстанс легче, чем уязвимость в SSL, настолько широко распространён этот продукт.
Несмотря на относительную неизвестность Roundcube среди рядовых пользователей, он считается одной из самых гибких и настраиваемых систем веб-почты — поддерживает более 200 параметров конфигурации и распространяется бесплатно. Именно эта популярность делает уязвимость особенно опасной: масштаб возможных атак охватывает всю индустрию.
Фирсов также опубликовал демонстрационное видео атаки с использованием ошибочного идентификатора уязвимости CVE-2025-48745, который впоследствии был отклонён как дубликат CVE-2025-49113. Однако сам механизм атаки остаётся идентичным.
Так как эксплойт уже попал в открытый оборот, уязвимость перешла в фазу активного использования. Отсутствие своевременного обновления превращает любую Roundcube-инсталляцию в потенциальную точку входа для атакующих.
Критическая уязвимость CVE-2025-49113 , обнаруженная в популярной системе веб-почты Roundcube, оказалась в арсенале киберпреступников всего через пару дней после выхода исправления . Злоумышленники оперативно проанализировали внесённые в код изменения, воспроизвели механизм атаки и начали продавать рабочий эксплойт на хакерских форумах. Проблема затрагивает версии Roundcube от 1.1.0 до 1.6.10 и сохранялась в коде более десяти лет.
Roundcube широко распространён в хостинг-среде и используется крупнейшими провайдерами, включая GoDaddy, Hostinger, Dreamhost и OVH. Также он входит в состав панелей управления вроде cPanel и Plesk, а потому активно применяется в образовательных, правительственных и технологических организациях по всему миру. По оценкам исследователей, число развёрнутых экземпляров превышает 1,2 миллиона.
Уязвимость представляет собой ошибку в обработке параметра
$_GET['_from'], что позволяет производить десериализацию PHP-объектов. При определённом формате имени переменной сессия повреждается, и атакующий может внедрить вредоносный объект. Несмотря на то, что для эксплуатации требуется авторизация, этот барьер не считается серьёзным: доступ можно получить путём перебора паролей, извлечения логов или проведения CSRF-атаки. Исследователь Кирилл Фирсов, глава компании FearsOff, сообщил , что из-за активной эксплуатации он решил обнародовать технические детали уязвимости раньше окончания срока ответственного раскрытия. Хотя полноценный PoC опубликован не был, выложенной информации достаточно, чтобы понять суть уязвимости и механизм её использования.
В частности, он отметил, что злоумышленникам потребовалось всего несколько дней на реверс-инжиниринг исправления и создание рабочего эксплойта. Это подчёркивает, насколько опасным может быть временной зазор между выпуском обновления и его фактической установкой на уязвимых системах. На форумах эксплойт уже появился с пометкой, что для его использования необходимы действительные учётные данные.
По словам Фирсова, одна из компаний-брокеров уязвимостей готова платить до 50 тысяч долларов за рабочую цепочку эксплуатации данной проблемы. Он также подчеркнул, что при пентестах найти Roundcube-инстанс легче, чем уязвимость в SSL, настолько широко распространён этот продукт.
Несмотря на относительную неизвестность Roundcube среди рядовых пользователей, он считается одной из самых гибких и настраиваемых систем веб-почты — поддерживает более 200 параметров конфигурации и распространяется бесплатно. Именно эта популярность делает уязвимость особенно опасной: масштаб возможных атак охватывает всю индустрию.
Фирсов также опубликовал демонстрационное видео атаки с использованием ошибочного идентификатора уязвимости CVE-2025-48745, который впоследствии был отклонён как дубликат CVE-2025-49113. Однако сам механизм атаки остаётся идентичным.
Так как эксплойт уже попал в открытый оборот, уязвимость перешла в фазу активного использования. Отсутствие своевременного обновления превращает любую Roundcube-инсталляцию в потенциальную точку входа для атакующих.