Над 84,000 активни уебмейл инсталации на Roundcube са уязвими на критична уязвимост – CVE-2025-49113, която позволява отдалечено изпълнение на произволен код (RCE) при наличие на валидни потребителски идентификационни данни. Уязвимостта е налична във версии 1.1.0 до 1.6.10, обхващайки повече от десетилетие на разработки и внедряване.

Произход и технически детайли

Уязвимостта е открита и докладвана от изследователя по киберсигурност Кирил Фирсов, който разкрива, че тя произлиза от необработен вход в параметъра $_GET['_from'], позволяващ десериализация на PHP обекти и повреда на сесии, когато ключовете на сесиите започват със специалния символ „!“.

Тази слабост позволява на нападателите да инжектират зловреден PHP код, който се изпълнява в контекста на сървъра, при определени условия – най-вече след автентикация.

Наличие на експлойт и риск от атаки

Макар уязвимостта да изисква автентикация, доказателства сочат, че нападатели вече са обърнали кръпката обратно, за да изградят напълно работещ експлойт, предлаган за продажба в ъндърграунд форуми.

Според твърдения на хакери, достъп до валидни потребителски акаунти може да бъде постигнат чрез:

• CSRF атаки (Cross-Site Request Forgery)

• Извличане на логове

• Брутфорс атаки срещу слаби пароли

Фирсов публикува технически подробности в личния си блог, с цел да подпомогне администраторите и изследователите в идентифициране и смекчаване на потенциални атаки.

Мащаб на изложеността

Roundcube е популярен уебмейл клиент, широко използван в споделен хостинг (GoDaddy, Hostinger, OVH), както и от държавни институции, образователни институции и технологични организации.

Според платформата за кибернаблюдение The Shadowserver Foundation, 84,925 Roundcube инстанции остават уязвими към CVE-2025-49113 към 8 юни 2025 г. Географското разпределение на уязвимите системи е следното:

• САЩ: 19,500

• Индия: 15,500

• Германия: 13,600

• Франция: 3,600

• Канада: 3,500

• Обединеното кралство: 2,400

Тези числа подчертават глобалната критичност на проблема и необходимостта от спешни мерки за защита.

Карта на разпространението на уязвимостта CVE-2025-49113
Източник: The Shadowserver Foundation

Препоръчителни действия за защита

Администраторите на системи се призовават незабавно да обновят Roundcube до версия 1.6.11 (или 1.5.10 за предходната поддръжка), в която уязвимостта е официално коригирана на 1 юни 2025 г.

Ако поради организационни или технически причини ъпдейт не е възможен, се препоръчват следните защитни мерки:

• Ограничаване на достъпа до уебмейл интерфейса (например чрез VPN или IP whitelist)

• Изключване на възможността за качване на файлове

• Активиране на CSRF защита

• Блокиране на рискови PHP функции (като eval, system, exec)

• Наблюдение на логове и индикатори за компрометиране

Заключение

Въпреки че все още няма потвърдена информация за масови атаки с използване на CVE-2025-49113, високото ниво на експозиция, наличният публичен експлойт и относителната лекота на компрометиране превръщат уязвимостта в изключително сериозна заплаха за организациите, които използват Roundcube.