Roundcube целых 10 лет держал дверь открытой, но никто не заметил
NewsMakerВсего один запрос — и почтовый клиент уже исполняет твой код.
В популярном почтовом веб-клиенте Roundcube обнаружена критическая уязвимость , которая оставалась незамеченной в течение целого десятилетия. Проблема получила идентификатор CVE-2025-49113 и максимальную оценку опасности — 9.9 балла по шкале CVSS. Проблема заключается в уязвимости к удалённому выполнению кода после авторизации через десериализацию PHP-объектов.
Уязвимость затрагивает все версии Roundcube до 1.5.10 и 1.6.10 включительно. Ошибка связана с отсутствием проверки параметра
О проблеме сообщил Кирилл Фирсов, основатель компании FearsOff, базирующейся в Дубае. Именно он нашёл и проанализировал уязвимость, а также уведомил разработчиков о необходимости исправлений. Обновления с устранением уязвимости уже выпущены: версия 1.6.11 и долгосрочная 1.5.10 LTS. FearsOff пообещала опубликовать технические детали и демонстрационный код (PoC), но только после того, как большинство пользователей успеют установить обновления.
История уязвимостей в Roundcube показывает, что продукт часто привлекает внимание кибершпионов. Ранее сообщалось, что такие группировки как APT28 и Winter Vivern активно эксплуатировали похожие дыры. Так, в 2024 году специалисты из Positive Technologies зафиксировали фишинговую кампанию с применением другой уязвимости в Roundcube ( CVE-2024-37383 ), нацеленной на кражу учётных данных.
А совсем недавно компания ESET опубликовала отчёт о том, как APT28 использовала XSS-уязвимости в веб-почтовых решениях Roundcube, Horde, MDaemon и Zimbra для доступа к внутренней переписке правительственных организаций и оборонных подрядчиков в Восточной Европе. Такие атаки становятся особенно опасными, если удаётся проникнуть внутрь корпоративной инфраструктуры через эксплойты в пользовательских интерфейсах.
Факт обнаружения столь опасной уязвимости спустя десять лет с момента её появления демонстрирует, насколько сложно обеспечить полную безопасность даже в давно разрабатываемом и проверенном ПО. В условиях, когда такие решения широко используются государственными структурами, каждая задержка с обновлением может иметь реальные последствия.
В популярном почтовом веб-клиенте Roundcube обнаружена критическая уязвимость , которая оставалась незамеченной в течение целого десятилетия. Проблема получила идентификатор CVE-2025-49113 и максимальную оценку опасности — 9.9 балла по шкале CVSS. Проблема заключается в уязвимости к удалённому выполнению кода после авторизации через десериализацию PHP-объектов.
Уязвимость затрагивает все версии Roundcube до 1.5.10 и 1.6.10 включительно. Ошибка связана с отсутствием проверки параметра
_from в запросах к обработчику upload.php, расположенного в разделе пользовательских настроек. При передаче специально сформированного значения возможно проведение атаки с десериализацией вредоносного объекта, что приводит к выполнению кода на сервере от имени веб-приложения. О проблеме сообщил Кирилл Фирсов, основатель компании FearsOff, базирующейся в Дубае. Именно он нашёл и проанализировал уязвимость, а также уведомил разработчиков о необходимости исправлений. Обновления с устранением уязвимости уже выпущены: версия 1.6.11 и долгосрочная 1.5.10 LTS. FearsOff пообещала опубликовать технические детали и демонстрационный код (PoC), но только после того, как большинство пользователей успеют установить обновления.
История уязвимостей в Roundcube показывает, что продукт часто привлекает внимание кибершпионов. Ранее сообщалось, что такие группировки как APT28 и Winter Vivern активно эксплуатировали похожие дыры. Так, в 2024 году специалисты из Positive Technologies зафиксировали фишинговую кампанию с применением другой уязвимости в Roundcube ( CVE-2024-37383 ), нацеленной на кражу учётных данных.
А совсем недавно компания ESET опубликовала отчёт о том, как APT28 использовала XSS-уязвимости в веб-почтовых решениях Roundcube, Horde, MDaemon и Zimbra для доступа к внутренней переписке правительственных организаций и оборонных подрядчиков в Восточной Европе. Такие атаки становятся особенно опасными, если удаётся проникнуть внутрь корпоративной инфраструктуры через эксплойты в пользовательских интерфейсах.
Факт обнаружения столь опасной уязвимости спустя десять лет с момента её появления демонстрирует, насколько сложно обеспечить полную безопасность даже в давно разрабатываемом и проверенном ПО. В условиях, когда такие решения широко используются государственными структурами, каждая задержка с обновлением может иметь реальные последствия.