CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2025-49113

RCE przez deserializację PHP w Roundcube Webmail (parametr _from)

CVSS 9.9v3.1pub. 2025-06-02upd. 2026-02-23

Podatność w Roundcube Webmail umożliwia uwierzytelnionym użytkownikom zdalne wykonanie kodu (RCE) poprzez niezwalidowany parametr _from w pliku upload.php. Ze względu na obecność na liście CISA KEV oraz ocenę CVSS 9.9, zagrożenie należy traktować jako krytyczne i wymagające natychmiastowej reakcji.

Pokaż oryginał (EN)

Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php, leading to PHP Object Deserialization.

🤖 Analiza AI
Jak działa

W pliku program/actions/settings/upload.php parametr _from przekazywany w adresie URL nie podlega żadnej walidacji. Atakujący może przekazać spreparowany payload, który zostaje poddany deserializacji PHP (PHP Object Deserialization), co prowadzi do wykonania dowolnego kodu po stronie serwera. Atak wymaga posiadania ważnego konta użytkownika w aplikacji, natomiast nie wymaga żadnych uprawnień administracyjnych.

Skutki

Atakujący może przejąć pełną kontrolę nad serwerem, na którym działa Roundcube Webmail — uzyskując dostęp do przechowywanych danych, możliwość ich modyfikacji lub trwałego usunięcia, a także potencjalnie umożliwiając sobie lateral movement w sieci wewnętrznej.

Mitygacja

Należy natychmiast zaktualizować Roundcube Webmail do wersji 1.5.10 lub 1.6.11. Patche dostępne są w repozytorium projektu (commity: 0376f69, 7408f31, c50a07d). W przypadku braku możliwości natychmiastowej aktualizacji zaleca się ograniczenie dostępu do instancji Roundcube do zaufanych sieci oraz wzmożony monitoring logów aplikacji.

Kogo dotyczy

Roundcube Webmail w wersjach przed 1.5.10 oraz w gałęzi 1.6.x przed 1.6.11, a także systemy oparte na Debian Linux dostarczające te wersje pakietu.

Uwagi

Podatność opisana i opublikowana przez badacza pod pseudonimem fearsoff (źródło: https://fearsoff.org/research/roundcube). Podatność znajduje się na liście aktywnie exploitowanych zagrożeń CISA Known Exploited Vulnerabilities (KEV).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Debian

    OS
    Debian
    11.0
  • Roundcube Webmail

    APP
    Roundcube
    < 1.5.101.6.0 – 1.6.11 (bez)

CISA KEV — szczegółyi

Dostawcai
Roundcube
Produkti
Webmail
Data dodania do KEVi
20 lutego 2026
Termin remediation (USA)i
13 marca 2026(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

RoundCube Webmail zawiera lukę podatności w deserializacji niezaufanych danych, która pozwala na zdalne wykonanie kodu przez uwierzytelnionych użytkowników, ponieważ parametr _from w adresie URL nie jest walidowany w program/actions/settings/upload.php.

tłumaczenie AI
Pokaż oryginał (EN)

RoundCube Webmail contains a deserialization of untrusted data vulnerability that allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 13 marca 2026
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2026-24061CRITICAL9.8⚠ KEVPL ✓ten sam produkt

GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER

CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)

CVE-2025-32433CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki

CVE-2025-24813CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych