【风险通告】Roundcube Webmail存在反序列化漏洞(CVE-2025-49113)
【风险通告】Roundcube Webmail存在反序列化漏洞(CVE-2025-49113)
安恒研究院 安恒信息CERT 2025-06-03 10:36
|
漏洞概述 |
|||
|
漏洞名称 |
Roundcube Webmail存在反序列化漏洞(CVE-2025-49113) |
||
|
安恒CERT评级 |
1级 |
CVSS3.1评分 |
9.9 |
|
CVE编号 |
CVE-2025-49113 |
CNVD编号 |
未分配 |
|
CNNVD编号 |
未分配 |
安恒CERT编号 |
DM-202506-000061 |
|
POC情况 |
未发现 |
EXP情况 |
未发现 |
|
在野利用 |
未发现 |
研究情况 |
分析中 |
|
危害描述 |
由于program/actions/settings/upload.php文件中未对URL中的_from参数进行验证,导致PHP对象反序列化漏洞,从而允许经过身份验证的用户执行远程代码。 |
||
该产
品主要使用客户行业分布广泛,漏洞危害性高,
建议客户尽快做好自查及防护。
漏洞信息
Roundcube Webmail是一款开源的基于Web的电子邮件客户端,旨在为用户提供简洁而强大的电子邮件管理工具。
漏洞描述
漏洞危害等级:
严重
漏洞类型:
反序列化
影响范围
影响版本:
Roundcube Webmail <1.5.10
1.6.0<= Roundcube Webmail <1.6.11
安全版本:
Roundcube Webmail >= 1.5.10
Roundcube Webmail >=1.6.11
CVSS向量
访问途径(AV):网络
攻击复杂度(AC):低
所需权限(PR):低
用户交互(UI):不需要用户交互
影响范围 (S):改变
机密性影响 (C):高
完整性影响 (l):高
可用性影响 (A):高
修复方案
官方修复方案:
官方已发布修复方案,受影响的用户建议及时更新至对应安全版本。
Roundcube 1.5.x:
https://github.com/roundcube/roundcubemail/releases/tag/1.5.10
Roundcube 1.6.x:
https://github.com/roundcube/roundcubemail/releases/tag/1.6.11
参考资料
https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
技术支持
如有漏洞相关需求支持请联系400-6059-110获取相关能力支撑。