[TLP:CLEAR] Roundcube Webmail opravuje 1 kritickú zraniteľnosť
Roundcube verziami 1.6.11 a 1.5.10 opravuje 1 kritickú zraniteľnosť v produkte Roundcube Webmail [2]. Debian a Ubuntu zatiaľ pre stabilné vydania opravu nevydali, Red Hat produktov sa zraniteľnosť netýka [3][4]. Gentoo má k dispozícii opravenú verziu 1.6.11 ako testing [5]. Manuálnu opravu je možné vykonať vytvorením a aplikovaním záplaty z opravených súborov dostupných na [6]. Zmeny je možné overiť v commite dostupnom na [7].
Autentizovanému vzdialenému útočníkovi je umožnené spúšťať ľubovolný PHP kód na serveri zaslaním špeciálne vytvorenej požiadavky na nahrávanie súboru [1].
Zraniteľnosť sa nachádza v produkte Roundcube vo verziách (>1.5.10) OR (>=1.6 AND <1.6.11).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2025-49113 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-502: Deserialization of Untrusted Data at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 2. 6. 2025.
Odkazy
- [1] https://nvd.nist.gov/vuln/detail/CVE-2025-49113
- [2] https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
- [3] https://security-tracker.debian.org/tracker/CVE-2025-49113
- [4] https://access.redhat.com/security/cve/cve-2025-49113
- [5] https://packages.gentoo.org/packages/mail-client/roundcube
- [6] https://github.com/roundcube/roundcubemail/releases/tag/1.6.11
- [7] https://github.com/roundcube/roundcubemail/commit/0376f69e958a8fef7f6f09e352c541b4e7729c4d
Za CESNET-CERTS Martin Krajči dňa 2. 6. 2025.
