Kép forrása: fearsoff.org
Kiril Firsov biztonsági kutató fedezte fel a CVE-2025-49113 számon nyilván tartott sebezhetőséget, amely távoli kódfuttatást (RCE) tesz lehetővé a Roundcube nevű webmail szolgáltatás 1.1.0 és az 1.6.10 közötti verzióiban.
A hiba a nem ellenőrzött $_GET[‘_from’] bemenetből ered, ami lehetővé teszi a PHP objektumok deszerializálását és a munkamenet sérülését, amennyiben a munkamenet-kulcsok felkiáltó jellel kezdődnek. A hibát 2025. június 1-én javították, azonban nem sokkal később a hackerek visszafejtették a javítást és működő exploitot fejlesztettek belőle, amelyeket különböző fórumokon terjesztettek. Bár maga a sérülékenység kihasználása hitelesítéshez kötött, a támadók állítása szerint könnyen szerezhetők érvényes hitelesítő adatok CSRF-rel (Cross‑Site Request Forgery), naplófájlokból történő adatkinyeréssel vagy brute-force módszerrel.
A Roundcube webmailt széleskörben használják olyan megosztott tárhelyszolgáltatóknál mint a GoDaddy, Hostinger, OVH, valamint kormányzati, oktatási és technológiai szektorokban is népszerű megoldás. A Shadowserver Foundation fenyegetésfigyelő platform jelentése szerint 84.925 darab sérülékenységben érintett Roundcube szervert azonosítottak, főleg az Egyesült Államokban (19.500), Indiában (15.500), Németországban (13.600), Franciaországban (3.600), Kanadában (3.500) és az Egyesült Királyságban (2.400).
Bár nincs információ arra vonatkozóan, hogy a hibát tényleges támadásokhoz használnák, tekintettel a kihasználhatóság magas kockázatára, valamint az adatlopás lehetőségére, javasolt a mielőbbi frissítés az 1.6.11-es, illetve az 1.5.10-es verziókra. Firsov technikai részleteket is megosztott a hibáról blogján, hogy segítse a lehetséges támadások elleni védekezést. Amennyiben a frissítés valamilyen oknál fogva nem megoldható, érdemes korlátozni a webmailhez való hozzáférést, kikapcsolni a fájlfeltöltési opciót, hozzáadni a CSRF védelmet, blokkolni a kockázatosabb PHP funkciókat és monitorozni a támadásra utaló jeleket.