ISGroup Cybersicherheitsberatung

CVE‑2025‑49113 – Schwachstelle zur Remote-Code-Ausführung in Roundcube Webmail

Eine schwerwiegende Schwachstelle zur Remote-Code-Ausführung (RCE), identifiziert als CVE‑2025‑49113, wurde in Roundcube Webmail entdeckt. Die Sicherheitslücke betrifft Versionen vor 1.5.10 sowie die Versionen 1.6.x vor 1.6.11. Ein authentifizierter Benutzer kann eine fehlerhafte Validierung des Parameters _from in der Datei program/actions/settings/upload.php ausnutzen, um beliebigen Code auf dem Server auszuführen. Ein öffentlicher Proof-of-Concept ist verfügbar und es finden aktive Angriffe statt. Etwa 84.000 im Internet exponierte Instanzen sind anfällig.

ProduktRoundcube Webmail
Datum02.07.2025 10:12:50
Informationen
  • Fix verfügbar
  • Aktive Ausnutzung

Technische Zusammenfassung

Der Fehler resultiert aus einer unsicheren Deserialisierung von benutzergesteuerten Daten durch Roundcube, die über den Parameter _from gesendet werden – ein Angreifer mit gültigen Zugangsdaten (z. B. ein Benutzer mit geringen Privilegien) kann eine speziell präparierte POST-Anfrage an upload.php senden und ein bösartiges PHP-Objekt injizieren, was zur Ausführung von beliebigem Code auf dem Server führt.

• Auswirkungen der Schwachstelle: Angreifer können die Vertraulichkeit, Integrität und Verfügbarkeit gefährden und sich potenziell auf andere Systeme ausbreiten. • Scans von Shadowserver haben über 84.000 anfällige Hosts bei großen Cloud-Anbietern und in Hosting-Umgebungen identifiziert.

Empfehlungen

1- Sofortiges Patchen: Aktualisieren Sie Roundcube auf die Version 1.5.10 oder 1.6.11. 2- Passwörter ändern: Aktualisieren Sie die Passwörter aller Roundcube-Benutzer, um unbefugte Zugriffe zu verhindern. 3- Prinzip der geringsten Privilegien anwenden: Stellen Sie sicher, dass der Webserver-Benutzer (z. B. www-data oder nobody) über minimale Berechtigungen verfügt und vermeiden Sie weitreichende Schreibrechte (z. B. 0777) für sensible Verzeichnisse. 4- Eingabevalidierung anwenden: Implementieren Sie eine strikte Bereinigung für den Parameter _from (z. B. nur einfache Zeichenfolgen zulassen, die E-Mail-Adressen oder internen Pfaden entsprechen). 5- Logs überwachen: Überprüfen Sie regelmäßig die Server-Logs (z. B. /var/log/litespeed/error.log) auf verdächtige Aktivitäten. 6- Nicht benötigte Funktionen deaktivieren: Deaktivieren Sie nach Möglichkeit die Funktion zum Hochladen von Einstellungen, falls diese nicht benötigt wird.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *