Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-06366

Опубликовано: 01 июн. 2025
Источник: fstec
CVSS3: 9.9
CVSS2: 9
EPSS Высокий

Описание

Уязвимость почтового клиента RoundCube Webmail связана с недостатками механизма десериализации при обработке параметра _from. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированного запроса

Вендор

The RoundCube Team

Наименование ПО

RoundCube Webmail

Версия ПО

до 1.5.10 (RoundCube Webmail)
до 1.6.11 (RoundCube Webmail)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,9)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование межсетевого экрана уровня приложений (WAF) для фильтрации сетевого трафика;
- ограничение доступа недоверенных пользователей к программному обеспечению сторонними средствами защиты с использованием технологии белых\черных списков;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей.
Использование рекомендаций:
https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.7308
Высокий

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-49113

CVSS3: 9.9
ubuntu
17 дней назад

Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php, leading to PHP Object Deserialization.

redhat логотип

CVE-2025-49113

CVSS3: 9.9
redhat
17 дней назад

Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php, leading to PHP Object Deserialization.

nvd логотип

CVE-2025-49113

CVSS3: 9.9
nvd
17 дней назад

Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php, leading to PHP Object Deserialization.

debian логотип

CVE-2025-49113

CVSS3: 9.9
debian
17 дней назад

Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote ...

github логотип

GHSA-8j8w-wwqc-x596

CVSS3: 9.9
github
17 дней назад

Roundcube Webmail Vulnerable to Authenticated RCE via PHP Object Deserialization

EPSS

Процентиль: 99%
0.7308
Высокий

9.9 Critical

CVSS3

9 Critical

CVSS2