CRITICAL🇬🇧 English

CVE-2024-37385

Command injection w Roundcube Webmail na Windows (im_convert_path/im_identify_path)

CVSS 9.8v3.1pub. 2024-06-07upd. 2026-02-06

Roundcube Webmail w wersjach przed 1.5.7 oraz 1.6.x przed 1.6.7, działający na systemach Windows, jest podatny na command injection poprzez parametry konfiguracyjne im_convert_path i im_identify_path. Podatność ma ocenę CVSS 9.8 (CRITICAL) i umożliwia zdalne wykonanie poleceń systemowych bez uwierzytelnienia.

Pokaż oryginał (EN)

Roundcube Webmail before 1.5.7 and 1.6.x before 1.6.7 on Windows allows command injection via im_convert_path and im_identify_path. NOTE: this issue exists because of an incomplete fix for CVE-2020-12641.

🤖 Analiza AI
Jak działa

Podatność polega na niewystarczającej walidacji i sanityzacji ścieżek do narzędzi ImageMagick, konfigurowanych przez parametry im_convert_path oraz im_identify_path. Atakujący może wstrzyknąć złośliwe polecenia systemowe poprzez te parametry, które następnie są wykonywane przez serwer. Podatność istnieje wskutek niekompletnej poprawki dla wcześniejszej podatności CVE-2020-12641, co oznacza, że pierwotny mechanizm ochronny okazał się niewystarczający w środowiskach Windows.

Skutki

Atakujący nieuwierzytelniony zdalnie może wykonać dowolne polecenia systemowe na serwerze hostującym Roundcube Webmail, co może prowadzić do pełnego przejęcia kontroli nad systemem, kradzieży danych oraz naruszenia integralności i dostępności usługi.

Mitygacja

Należy zaktualizować Roundcube Webmail do wersji 1.5.7 lub 1.6.7. Poprawka dostępna jest w oficjalnych wydaniach projektu na GitHub (tagi 1.5.7 oraz 1.6.7) oraz w commicie 5ea9f37ce39374b6124586c0590fec7015d35d7f.

Kogo dotyczy

Roundcube Webmail w wersjach przed 1.5.7 oraz w gałęzi 1.6.x przed 1.6.7, działający na systemach Microsoft Windows

Uwagi

Podatność jest wynikiem niekompletnej poprawki dla CVE-2020-12641. Problem dotyczy wyłącznie instalacji Roundcube Webmail uruchomionych na systemach Windows.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
  • Roundcube Webmail

    APP
    Roundcube
    < 1.5.71.6.0 – 1.6.7 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-49113CRITICAL9.9⚠ KEVPL ✓ten sam produkt

RCE przez deserializację PHP w Roundcube Webmail (parametr _from)

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2024-7262CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows