サイバーセキュリティ研究者たちは、Roundcube webmailソフトウェアに10年間見過ごされていた重大なセキュリティ欠陥の詳細を明らかにしました。この欠陥は、脆弱なシステムを乗っ取り、任意のコードを実行するために悪用される可能性があります。
この脆弱性はCVE-2025-49113として追跡されており、CVSSスコアは10.0中9.9です。PHPオブジェクトのデシリアライズを通じた認証後のリモートコード実行のケースとして説明されています。
「Roundcube Webmail 1.5.10以前および1.6.xの1.6.11以前のバージョンでは、URLの_fromパラメータがプログラム/actions/settings/upload.phpで検証されないため、認証済みユーザーによるリモートコード実行が可能です。これによりPHPオブジェクトのデシリアライズが発生します」とNISTのNational Vulnerability Database (NVD)の説明に記載されています。
この欠陥は、1.6.10を含む以前のすべてのバージョンに影響を与え、1.6.11および1.5.10 LTSで対処されています。FearsOffの創設者兼CEOであるKirill Firsovがこの欠陥を発見し、報告したとされています。
ドバイに拠点を置くサイバーセキュリティ会社は、必要なパッチを適用するための十分な時間をユーザーに与えるために、追加の技術的詳細と概念実証(PoC)を「近日中に」公開する予定であると簡単なアドバイザリで述べています。
以前に公開されたRoundcubeのセキュリティ脆弱性は、APT28やWinter Vivernのような国家的脅威アクターにとって有利なターゲットとなってきました。昨年、Positive Technologiesは、未確認のハッカーがユーザーの資格情報を盗むためのフィッシング攻撃の一環として、Roundcubeの欠陥(CVE-2024-37383)を悪用しようと試みたことを明らかにしました。
そして数週間前、ESETは、APT28がRoundcube、Horde、MDaemon、Zimbraなどのさまざまなwebmailサーバーのクロスサイトスクリプティング(XSS)脆弱性を利用して、東ヨーロッパの政府機関や防衛企業に属する特定のメールアカウントから機密データを収集したと指摘しました。
翻訳元: https://thehackernews.com/2025/06/critical-10-year-old-roundcube-webmail.html