Более 84000 серверов, использующие веб-почту Roundcube, имеют критическую уязвимость CVE-2025-49113, удаленного выполнения кода (RCE) с публичным эксплойтом.
Уязвимость, которая затрагивает версии Roundcube с 1.1.0 по 1.6.10, охватывающие более десяти лет, был исправлен 1 июня 2025 года после того, как его обнаружил и сообщил о нем исследователь безопасности Кирилл Фирсов.
Ошибка связана с несанированным вводом $_GET['_from'], позволяющим десериализовать объекты PHP и повреждать сессии, когда ключи сессий начинаются с восклицательного знака.
Хотя эксплуатация CVE-2025-49113 требует аутентификации, злоумышленники утверждают, что действительные учетные данные можно получить с помощью CSRF, перебора логов или брутфорса.
Фирсов поделился техническими подробностями дефекта в своем блоге, чтобы помочь защититься от активных попыток эксплуатации, которые, скорее всего, будут иметь место.
Массовое заражение
Roundcube широко используется в виртуальном хостинге по всему миру, а также в правительстве, образовании и корпоративном секторе, где в сети можно увидеть более 1 200 000 экземпляров.
Платформа мониторинга угроз The Shadowserver Foundation сообщает, что по состоянию на 8 июня 2025 года ее интернет-сканирование выявило 84 925 экземпляров Roundcube, уязвимых к CVE-2025-49113.
Большинство из них находятся в США (19 500), Индии (15 500), Германии (13 600), Франции (3 600), Канаде (3 500) и Великобритании (2 400).
С учетом высокого риска эксплуатации и возможности кражи данных, подверженность этим экземплярам представляет собой значительный риск кибербезопасности.
Системным администраторам рекомендуется как можно скорее обновиться до версий 1.6.11 и 1.5.10, в которых устранен CVE-2025-49113.
Пока неясно, используется ли этот недостаток в реальных атаках и в каких масштабах, но, тем не менее, рекомендуется принять срочные меры.
Если обновление невозможно, рекомендуется ограничить доступ к веб-почте, отключить загрузку файлов, добавить защиту CSRF и блокировать рискованные функции PHP.
Комментарии (0)