Критична уязвимост с обозначение CVE-2025-49113 в широко използваното уебмейл приложение Roundcube вече е обект на активна експлоатация от страна на киберпрестъпници. Проблемът позволява отдалечено изпълнение на код (RCE) и засяга всички версии между 1.1.0 и 1.6.10, като съществува в продукта повече от десетилетие. Кръпка бе издадена едва на 1 юни 2025 г.
Само няколко дни след пускането на корекцията, злонамерени лица успяха да анализират промените, разработят експлойт и дори да започнат продажбата му във форуми в тъмната мрежа.
Уязвимостта е класифицирана с оценка 9.9 от 10 по скалата на критичност и е наречена от експерти „имейл Армагедон“. Тя изисква автентикация, но експлойтът вече се продава с уверение, че входни данни могат да се извлекат от логове, чрез brute force или чрез CSRF атаки.
Уязвимостта е открита от Кирил Фирсов, главен изпълнителен директор на компанията по киберсигурност FearsOff. Поради вече наличен експлойт в подземния свят, Фирсов публикува технически подробности по проблема преди изтичането на официалния срок за отговорно разкриване – но без пълна демонстрация (PoC).
Според неговия анализ, основната причина за уязвимостта е липсата на коректна филтрация на параметъра $_GET['_from'], което води до несигурна десериализация на обекти в PHP. Ако име на сесийна променлива започва с удивителен знак (!), сесията се поврежда, отваряйки възможност за инжектиране на обекти.
Макар името Roundcube да не е добре познато на масовия потребител, присъствието му е масово. Приложението се използва от хостинг гиганти като GoDaddy, Hostinger, Dreamhost и OVH, както и от множество организации в държавния, академичния и технологичния сектор.
Roundcube се предлага като част от популярни уеб хостинг панели като cPanel и Plesk, и според Фирсов е по-вероятно един пентестър да открие Roundcube инстанция, отколкото грешно конфигуриран SSL.
„Повърхността за атака не е просто голяма – тя е индустриална,“ предупреждава изследователят. Проверките чрез търсачки за интернет-свързани услуги разкриват поне 1.2 милиона публично достъпни инстанции на Roundcube.
Фирсов съобщава, че брокери на уязвимости вече плащат до $50,000 за RCE експлойт в Roundcube. Видеодемонстрация на атаката е публикувана, макар в нея да е използван алтернативен идентификатор CVE-2025-48745 – по-късно отхвърлен като дублиращ оригиналния.
Това показва ясно: в контекста на днешната киберсреда, дори по-малко познати приложения могат да бъдат катализатор на мащабни компрометиращи събития. Компаниите и институциите, използващи Roundcube, трябва незабавно да приложат наличния пач, да анализират достъпа до сървърите си и да преценят дали има признаци за пробив.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
