Aktívne zneužívaná kritická zraniteľnosť v open-source webmailovom riešení RoundCube

Vývojári populárnej webmailovej platformy Roundcube vydali bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosť. CVE-2025-49113 by vzdialený útočník mohol zneužiť na vzdialené vykonanie kódu zaslaním špeciálne vytvorenej požiadavky HTTP GET.

Zraniteľné systémy:

  • Roundcube vo verziách starších ako 1.15.10 LTS
  • Roundcube 1.6.X vo verziách starších ako 1.6.11

Opis zraniteľnosti:

CVE-2025-49113 (CVSSv3 skóre 9,9)

Kritická zraniteľnosť sa nachádza v skripte /program/actions/settings/upload.php a spočíva v absencii sanitizácie parametra _from, ktorú možno zneužiť na vykonanie kódu po deserializácii PHP objektov. Vzdialený autentifikovaný útočník by ju mohol zneužiť zaslaním špeciálne vytvorených HTTP GET požiadaviek. Zneužitie zraniteľnosti síce vyžaduje úspešné prihlásenie, ale prihlasovacie údaje možno podľa zdrojov získať rôznymi formami útokov (napr. phishing, brute-force, CSRF).

Útočníkom sa analýzou hotfixu vydaného 1. júna 2025 podarilo získať dostatok informácií na vytvorenie funkčného exploitu, ktorý je na predaj na hackerských fórach. V nadväznosti na túto skutočnosť bezpečnostní výskumníci zo spoločnosť FearsOff zverejnili aj Proof-of-Concept kód demonštrujúci spôsob zneužitia zraniteľnosti.

Možné škody:

  • Vzdialené vykonanie kódu
  • Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu Roundcube na verzie 1.15.10 LTS alebo 1.6.11. Rovnako odporúčame preveriť logy Roundcube, sieťových a bezpečnostných prvkov na prítomnosť pokusov o zneužitie zraniteľnosti.

Zdroje: