U Roundcube Webmailu otkrivena je kritična sigurnosna ranjivost stara deset godina koja bi mogla omogućiti autentifikovanim napadačima izvršavanje proizvoljnog koda na ranjivim sistemima, što potencijalno može uticati na milione instalacija širom svijeta.
Ranjivost, označena kao CVE-2025-49113, nosi alarmantan CVSS rezultat od 9,9 od 10,0, što je čini jednom od najozbiljnijih ranjivosti otkrivenih posljednjih godina.
Ranjivost utiče na sve verzije Roundcube Webmaila prije verzije 1.5.10 i 1.6.x prije verzije 1.6.11, što predstavlja zapanjujući opseg uticaja koji uključuje preko 53 miliona hostova širom svijeta.
Greška se posebno odnosi na popularne kontrolne panele web hostinga kao što su cPanel, Plesk, ISPConfig i DirectAdmin, koji uključuju Roundcube kao svoje podrazumijevano webmail rješenje.
10 godina stara ranjivost Roundcube RCE-a
Kirill Firsov, osnivač i izvršni direktor firme za sajber sigurnost FearsOff sa sjedištem u Dubaiju, otkrio je ovu ranjivost za udaljeno izvršavanje koda nakon autentifikacije koja iskorištava deserijalizaciju PHP objekata.
Sigurnosna greška proizilazi iz nedovoljne validacije parametra _fromu URL-u unutar program/actions/settings/upload.phpdatoteke, što omogućava malicioznim korisnicima da manipulišu serijalizovanim PHP objektima i izvršavaju proizvoljni kod na serveru.
![Roundcube ≤ 1.6.10 Post-Auth RCE via PHP Object Deserialization [CVE-2025-49113] PoC demonstration](https://i.ytimg.com/vi/TBkTbMJWHJY/hqdefault.jpg)
Roundcube je historijski bio glavna meta naprednih grupa koje se bave perzistentnim prijetnjama. Prethodne ranjivosti u platformi za web poštu iskoristili su hakeri nacionalnih država, uključujući APT28 i Winter Vivern.
Prošle godine, neidentifikovani hakeri pokušali su iskoristiti CVE-2024-37383 u phishing napadima s ciljem krađe korisničkih podataka.
Nedavno su istraživači ESET-a dokumentovali da APT28 iskorištava ranjivosti cross-site scriptinga na raznim webmail serverima, uključujući Roundcube, kako bi prikupio povjerljive podatke od vladinih subjekata i odbrambenih kompanija u istočnoj Evropi.
Centar za sajber sigurnost Belgije izdao je hitna upozorenja, toplo preporučujući organizacijama da instaliraju ažuriranja s najvišim prioritetom nakon temeljitog testiranja. Ispravljene verzije su sada dostupne uz Roundcube Webmail 1.6.11 i 1.5.10 LTS koje rješavaju ranjivost.
FearsOff je naznačio da planira uskoro objaviti sveobuhvatne tehničke detalje i kod za provjeru koncepta, slijedeći prakse odgovornog objavljivanja kako bi se pogođenim stranama omogućilo dovoljno vremena za implementaciju potrebnih zakrpa.
Ovaj pristup pokazuje posvećenost zajednice za sajber sigurnost da organizacijama pruži dovoljno vremena da osiguraju svoje sisteme prije nego što detaljne metode iskorištavanja postanu javne.
Organizacije koje koriste Roundcube Webmail trebale bi dati prioritet trenutnom ažuriranju zakrpa i implementirati poboljšane mogućnosti praćenja kako bi otkrile sve sumnjive aktivnosti koje bi mogle ukazivati na pokušaj iskorištavanja ove kritične ranjivosti.
Izvor: CyberSecurityNews