Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-06366

Опубликовано: 01 июн. 2025
Источник: fstec
CVSS3: 9.9
CVSS2: 9
EPSS Высокий

Описание

Уязвимость почтового клиента RoundCube Webmail связана с недостатками механизма десериализации при обработке параметра _from. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированного запроса

Вендор

ООО «Ред Софт»
The RoundCube Team

Наименование ПО

РЕД ОС
RoundCube Webmail

Версия ПО

7.3 (РЕД ОС)
до 1.5.10 (RoundCube Webmail)
до 1.6.11 (RoundCube Webmail)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,9)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование межсетевого экрана уровня приложений (WAF) для фильтрации сетевого трафика;
- ограничение доступа недоверенных пользователей к программному обеспечению сторонними средствами защиты с использованием технологии белых\черных списков;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей.
Использование рекомендаций:
https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-roundcubemail-cve-2025-49113/?sphrase_id=1087878

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.86502
Высокий

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20250703-09

CVSS3: 9.9
redos
около 2 месяцев назад

Уязвимость roundcubemail

ubuntu логотип

CVE-2025-49113

CVSS3: 9.9
ubuntu
3 месяца назад

Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php, leading to PHP Object Deserialization.

redhat логотип

CVE-2025-49113

CVSS3: 9.9
redhat
3 месяца назад

Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php, leading to PHP Object Deserialization.

nvd логотип

CVE-2025-49113

CVSS3: 9.9
nvd
3 месяца назад

Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php, leading to PHP Object Deserialization.

debian логотип

CVE-2025-49113

CVSS3: 9.9
debian
3 месяца назад

Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote ...

EPSS

Процентиль: 99%
0.86502
Высокий

9.9 Critical

CVSS3

9 Critical

CVSS2