CVE-2025-49113

Опубликовано: 02 июн. 2025

Источник: ubuntu

Приоритет: medium

EPSS Высокий

CVSS3: 9.9

Описание

Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php, leading to PHP Object Deserialization.

Релиз	Статус	Примечание
devel	not-affected	1.6.11+dfsg-1
esm-apps/bionic	released	1.3.6+dfsg.1-1ubuntu0.1~esm5
esm-apps/focal	released	1.4.3+dfsg.1-1ubuntu0.1~esm5
esm-apps/jammy	released	1.5.0+dfsg.1-2ubuntu0.1~esm4
esm-apps/noble	released	1.6.6+dfsg-2ubuntu0.1
esm-apps/xenial	released	1.2~beta+dfsg.1-0ubuntu1+esm6
focal	ignored	end of standard support, was needs-triage
jammy	needed
noble	released	1.6.6+dfsg-2ubuntu0.1
oracular	released	1.6.8+dfsg-2ubuntu0.1

Показывать по

Ссылки на источники

EPSS

Процентиль: 99%

0.84732

Высокий

9.9 Critical

CVSS3

Связанные уязвимости

CVE-2025-49113

CVSS3: 9.9

redhat

3 месяца назад

CVE-2025-49113

CVSS3: 9.9

nvd

3 месяца назад

CVE-2025-49113

CVSS3: 9.9

debian

3 месяца назад

Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote ...

GHSA-8j8w-wwqc-x596

CVSS3: 9.9

github

3 месяца назад

Roundcube Webmail Vulnerable to Authenticated RCE via PHP Object Deserialization

BDU:2025-06366

CVSS3: 9.9

fstec

3 месяца назад

Уязвимость почтового клиента RoundCube Webmail, связанная с недостатками механизма десериализации при обработке параметра _from, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 99%

0.84732

Высокий

9.9 Critical

CVSS3

CVE-2025-49113

Описание

Пакет roundcube

Ссылки на источники

Связанные уязвимости