I ricercatori di Cybersecurity hanno rivelato i dettagli di un difetto di sicurezza critico nel software program Roundcube Webmail che è passato inosservato per un decennio e potrebbe essere sfruttato per assumere sistemi sensibili ed eseguire codice arbitrario.
La vulnerabilità, monitorata come CVE-2025-49113porta un punteggio CVSS di 9,9 su 10.0. È stato descritto come un caso di esecuzione del codice remoto post-autenticato tramite deserializzazione dell’oggetto PHP.
“RoundCube Webmail prima di 1.5.10 e 1.6.x prima di 1.6.11 consente l’esecuzione del codice remoto da parte di utenti autenticati perché il parametro _from in un URL non è validato in programma/azioni/impostazioni/add.php, portando alla deserializzazione degli oggetti PHP” descrizione del difetto nel Nationwide Vulnerability Database (NVD) del NIST.
Il difetto, che influisce su tutte le versioni del software program prima e incluso 1.6.10, è stato indirizzato in 1.6.11 e 1.5.10 LTS. Kirill Firsov, fondatore e CEO di Fearsoff, è stato attribuito il merito di aver scoperto e riportato il difetto.
La società di sicurezza informatica con sede a Dubai notato In una breve consulenza che intende rendere pubblici ulteriori dettagli tecnici e una prova (POC) “presto” in modo da dare agli utenti tempo sufficiente per applicare le patch necessarie.
https://www.youtube.com/watch?v=tbktbmjwhjy
Le vulnerabilità di sicurezza precedentemente divulgate a RoundCube sono state un obiettivo redditizio per gli attori delle minacce allo stato-nazione come APT28 e Winter Vivern. L’anno scorso, le tecnologie optimistic hanno rivelato che hacker non identificati tentato Per sfruttare un difetto di Roundcube (CVE-2024-37383) come parte di un attacco di phishing progettato per rubare le credenziali dell’utente.
Poi un paio di settimane fa, ESET notato Che APT28 avesse sfruttato le vulnerabilità di script siti (XSS) in vari server di webmail come Roundcube, Horde, Mdaemon e Zimbra per raccogliere dati riservati da specifici account di posta elettronica appartenenti a entità governative e società di difesa nell’Europa orientale.
