Исследователи подсчитали, что более 84 000 установок Roundcube Webmail уязвимы перед критической проблемой CVE-2025-49113, для которой уже доступен публичный эксплоит.

Эта уязвимость существовала в коде Roundcube Webmail более десяти лет и затрагивает версии с 1.1.0 по 1.6.10. Исправление для этой ошибки было выпущено 1 июня 2025 года.

CVE-2025-49113 представляет собой уязвимость удаленного выполнения кода (RCE), которая набрала 9,9 балла из 10 возможных по шкале CVSS. Баг выявил глава компании FearsOff, Кирилл Фирсов, который решил раскрыть технические подробности проблемы в начале июня, так как эксплоит уже появился в сети.

Уязвимость связана с отсутствием должной очистки параметра $_GET['_from'], что приводит к десериализации объекта PHP. В своем техническом отчете Фирсов объяснял, что если имя переменной сессии начинается с восклицательного знака, сессия нарушается, и появляется возможность для инъекции объектов.

Как мы уже писали ранее, вскоре после выхода патча хакеры отреверсили его и создали эксплоит, который стали продавать на теневых форумах.

Хотя для эксплуатации CVE-2025-49113 требуется аутентификация, злоумышленники писали, что учетные данные можно извлечь из логов или применить брутфорс. В свою очередь Фирсов отмечал, что комбинацию учетных данных можно получить и с помощью CSRF.

Поскольку Roundcube является одним из наиболее популярных решений для работы с веб-почтой, его предлагают своим клиентам такие известные хостинг-провайдеры (GoDaddy, Hostinger, Dreamhost и OVH), он входит в состав панелей управления (cPanel, Plesk), и им пользуются многочисленные организации в правительственном, академическом и технологическом секторах.

Как теперь сообщили специалисты The Shadowserver Foundation, в сети можно обнаружить более 1 200 000 установок Roundcube Webmail, и по состоянию на 8 июня 2025 года 84 925 из них все еще уязвимых перед CVE-2025-49113.

Большинство уязвимых установок находятся в США (19 500), Индии (15 500), Германии (13 600), Франции (3600), Канаде (3500) и Великобритании (2400).

Эксперты рекомендуют администраторам как можно скорее установить обновления до версий 1.6.11 и 1.5.10, где уязвимость уже была устранена. Дело в том, что несколько дней назад  CERT Poland предупредил, что злоумышленники из группы UNC1151 уже используют уязвимость в рамках фишинговой кампании, направленной на кражу учетных данных.

Если обновление по каким-то причинам невозможно, рекомендуется ограничить доступ к веб-почте, отключить загрузку файлов, добавить защиту от CSRF, блокировать потенциально опасные функции PHP и следить признаками эксплуатации.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии