<div id="post_message_796902">

Исследователи подсчитали, что более 84 000 установок Roundcube Webmail уязвимы перед критической <a href="https://xakep.ru/2025/06/06/roundcube-exploit/" target="_blank">проблемой CVE-2025-49113</a>, для которой уже доступен публичный эксплоит.<br/>
<br/>
Эта уязвимость существовала в коде Roundcube Webmail более десяти лет и затрагивает версии с 1.1.0 по 1.6.10. Исправление для этой ошибки было выпущено <a href="https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10" target="_blank">1 июня 2025 года</a>.<br/>
<br/>
CVE-2025-49113 представляет собой уязвимость удаленного выполнения кода (RCE), которая набрала 9,9 балла из 10 возможных по шкале CVSS. Баг выявил глава компании FearsOff, Кирилл Фирсов, который решил раскрыть <a href="https://fearsoff.org/research/roundcube" target="_blank">технические подробности</a> проблемы в начале июня, так как эксплоит уже появился в сети.<br/>
<br/>
Уязвимость связана с отсутствием должной очистки параметра $_GET['_from'], что приводит к десериализации объекта PHP. В своем техническом отчете Фирсов объяснял, что если имя переменной сессии начинается с восклицательного знака, сессия нарушается, и появляется возможность для инъекции объектов.<br/>
<br/>
Как мы уже <a href="https://xakep.ru/2025/06/06/roundcube-exploit/" target="_blank">писали ранее</a>, вскоре после выхода патча хакеры отреверсили его и создали эксплоит, который стали продавать на теневых форумах.<br/>
<br/>
Хотя для эксплуатации CVE-2025-49113 требуется аутентификация, злоумышленники писали, что учетные данные можно извлечь из логов или применить брутфорс. В свою очередь Фирсов отмечал, что комбинацию учетных данных можно получить и с помощью CSRF.<br/>
<br/>
Поскольку Roundcube является одним из наиболее популярных решений для работы с веб-почтой, его предлагают своим клиентам такие известные хостинг-провайдеры (GoDaddy, Hostinger, Dreamhost и OVH), он входит в состав панелей управления (cPanel, Plesk), и им пользуются многочисленные организации в правительственном, академическом и технологическом секторах.<br/>
<br/>
Как теперь сообщили специалисты <a href="https://x.com/Shadowserver/status/1931792740616196222" target="_blank">The Shadowserver Foundation</a>, в сети можно обнаружить более 1 200 000 установок Roundcube Webmail, и по состоянию на 8 июня 2025 года <a href="https://dashboard.shadowserver.org/statistics/combined/time-series/?date_range=7&amp;source=http_vulnerable&amp;sourc e=http_vulnerable6&amp;tag=cve-2025-49113%2B&amp;dataset=unique_ips&amp;limit=100&amp; group_by=geo&amp;stacking=stacked&amp;auto_update= on" target="_blank">84 925</a> из них все еще уязвимых перед CVE-2025-49113.<br/>
<br/>
Большинство уязвимых установок находятся в США (19 500), Индии (15 500), Германии (13 600), Франции (3600), Канаде (3500) и Великобритании (2400).<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/519745/map.jpg"/><br/>
<br/>
Эксперты рекомендуют администраторам как можно скорее установить обновления до версий 1.6.11 и 1.5.10, где уязвимость уже была устранена. Дело в том, что несколько дней назад <a href="https://cert.pl/en/posts/2025/06/unc1151-campaign-roundcube/" target="_blank"> CERT Poland</a> предупредил, что злоумышленники из группы UNC1151 уже используют уязвимость в рамках фишинговой кампании, направленной на кражу учетных данных.<br/>
<br/>
Если обновление по каким-то причинам невозможно, рекомендуется ограничить доступ к веб-почте, отключить загрузку файлов, добавить защиту от CSRF, блокировать потенциально опасные функции PHP и следить признаками эксплуатации.<br/>
<br/>
<a href="https://xakep.ru/2025/06/11/roundcube-danger/" target="_blank">@ xakep.ru</a>
</div>