网络安全研究人员披露了Roundcube网页邮件软件中一个存在十年之久却未被发现的高危安全漏洞细节,攻击者可利用该漏洞接管易受攻击的系统并执行任意代码。
漏洞技术细节
该漏洞编号为CVE-2025-49113,CVSS评分为9.9分(满分10分),属于通过PHP对象反序列化实现认证后远程代码执行的漏洞类型。根据美国国家标准与技术研究院(NIST)国家漏洞数据库(NVD)的描述:"Roundcube Webmail 1.5.10之前版本和1.6.x系列1.6.11之前版本存在远程代码执行漏洞,认证用户可利用program/actions/settings/upload.php中未经验证的_url参数实现PHP对象反序列化攻击。"
该漏洞影响包括1.6.10及之前的所有版本,已在1.6.11和1.5.10 LTS版本中修复。漏洞发现者为网络安全公司FearsOff创始人兼CEO Kirill Firsov。
后续披露计划
这家总部位于迪拜的网络安全公司在简短公告中表示,将"很快"公开更多技术细节和概念验证(PoC)代码,以便为用户提供充足时间安装补丁。
历史攻击案例
Roundcube此前披露的安全漏洞一直是APT28(高级持续威胁28)和Winter Vivern等国家级威胁组织的重点攻击目标。去年,Positive Technologies公司曾发现不明黑客试图利用Roundcube漏洞(CVE-2024-37383)实施钓鱼攻击以窃取用户凭证。
数周前,ESET公司报告称APT28曾利用Roundcube、Horde、MDaemon和Zimbra等网页邮件服务器中的跨站脚本(XSS)漏洞,窃取东欧政府机构和国防企业特定邮箱账户的机密数据。