Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,483
- Баллы
- 155
Исследователи подсчитали, что более 84 000 установок Roundcube Webmail уязвимы перед критической , для которой уже доступен публичный эксплоит.
Эта уязвимость существовала в коде Roundcube Webmail более десяти лет и затрагивает версии с 1.1.0 по 1.6.10. Исправление для этой ошибки было выпущено .
CVE-2025-49113 представляет собой уязвимость удаленного выполнения кода (RCE), которая набрала 9,9 балла из 10 возможных по шкале CVSS. Баг выявил глава компании FearsOff, Кирилл Фирсов, который решил раскрыть проблемы в начале июня, так как эксплоит уже появился в сети.
Уязвимость связана с отсутствием должной очистки параметра $_GET['_from'], что приводит к десериализации объекта PHP. В своем техническом отчете Фирсов объяснял, что если имя переменной сессии начинается с восклицательного знака, сессия нарушается, и появляется возможность для инъекции объектов.
Как мы уже , вскоре после выхода патча хакеры отреверсили его и создали эксплоит, который стали продавать на теневых форумах.
Хотя для эксплуатации CVE-2025-49113 требуется аутентификация, злоумышленники писали, что учетные данные можно извлечь из логов или применить брутфорс. В свою очередь Фирсов отмечал, что комбинацию учетных данных можно получить и с помощью CSRF.
Поскольку Roundcube является одним из наиболее популярных решений для работы с веб-почтой, его предлагают своим клиентам такие известные хостинг-провайдеры (GoDaddy, Hostinger, Dreamhost и OVH), он входит в состав панелей управления (cPanel, Plesk), и им пользуются многочисленные организации в правительственном, академическом и технологическом секторах.
Как теперь сообщили специалисты , в сети можно обнаружить более 1 200 000 установок Roundcube Webmail, и по состоянию на 8 июня 2025 года из них все еще уязвимых перед CVE-2025-49113.
Большинство уязвимых установок находятся в США (19 500), Индии (15 500), Германии (13 600), Франции (3600), Канаде (3500) и Великобритании (2400).
Эксперты рекомендуют администраторам как можно скорее установить обновления до версий 1.6.11 и 1.5.10, где уязвимость уже была устранена. Дело в том, что несколько дней назад предупредил, что злоумышленники из группы UNC1151 уже используют уязвимость в рамках фишинговой кампании, направленной на кражу учетных данных.
Если обновление по каким-то причинам невозможно, рекомендуется ограничить доступ к веб-почте, отключить загрузку файлов, добавить защиту от CSRF, блокировать потенциально опасные функции PHP и следить признаками эксплуатации.
Эта уязвимость существовала в коде Roundcube Webmail более десяти лет и затрагивает версии с 1.1.0 по 1.6.10. Исправление для этой ошибки было выпущено .
CVE-2025-49113 представляет собой уязвимость удаленного выполнения кода (RCE), которая набрала 9,9 балла из 10 возможных по шкале CVSS. Баг выявил глава компании FearsOff, Кирилл Фирсов, который решил раскрыть проблемы в начале июня, так как эксплоит уже появился в сети.
Уязвимость связана с отсутствием должной очистки параметра $_GET['_from'], что приводит к десериализации объекта PHP. В своем техническом отчете Фирсов объяснял, что если имя переменной сессии начинается с восклицательного знака, сессия нарушается, и появляется возможность для инъекции объектов.
Как мы уже , вскоре после выхода патча хакеры отреверсили его и создали эксплоит, который стали продавать на теневых форумах.
Хотя для эксплуатации CVE-2025-49113 требуется аутентификация, злоумышленники писали, что учетные данные можно извлечь из логов или применить брутфорс. В свою очередь Фирсов отмечал, что комбинацию учетных данных можно получить и с помощью CSRF.
Поскольку Roundcube является одним из наиболее популярных решений для работы с веб-почтой, его предлагают своим клиентам такие известные хостинг-провайдеры (GoDaddy, Hostinger, Dreamhost и OVH), он входит в состав панелей управления (cPanel, Plesk), и им пользуются многочисленные организации в правительственном, академическом и технологическом секторах.
Как теперь сообщили специалисты , в сети можно обнаружить более 1 200 000 установок Roundcube Webmail, и по состоянию на 8 июня 2025 года из них все еще уязвимых перед CVE-2025-49113.
Большинство уязвимых установок находятся в США (19 500), Индии (15 500), Германии (13 600), Франции (3600), Канаде (3500) и Великобритании (2400).
Эксперты рекомендуют администраторам как можно скорее установить обновления до версий 1.6.11 и 1.5.10, где уязвимость уже была устранена. Дело в том, что несколько дней назад предупредил, что злоумышленники из группы UNC1151 уже используют уязвимость в рамках фишинговой кампании, направленной на кражу учетных данных.
Если обновление по каким-то причинам невозможно, рекомендуется ограничить доступ к веб-почте, отключить загрузку файлов, добавить защиту от CSRF, блокировать потенциально опасные функции PHP и следить признаками эксплуатации.