Kritiska ievainojamība Roundcube Webmail: CVE-2025-49113

10 gadus neatklāta kritiska ievainojamība (CVE-2025-49113 / CVSS vērtējums 9.9 no 10)  ļauj autentificētiem lietotājiem veikt attālināto koda izpildi (RCE) Roundcube Webmail sistēmās (skartas versijas 1.1.0 līdz 1.6.10), apdraudot vairāk nekā 53 miljonus serveru visā pasaulē.

Ievainojamības būtība: Šī ievainojamība ļauj autentificētiem lietotājiem attālināti izpildīt kodu, izmantojot PHP objektu deserializāciju caur nevalidētu _from parametru failā upload.php.

SVARĪGI: Ievainojamība šobrīd jau tiek izmantota reālos uzbrukumos kibertelpā, tādēļ CERT.LV aicina nekavējoties uzstādīt atjauninājumus skartajām sistēmām. 

⇒ Ietekmētās versijas:

• Roundcube Webmail versijas no 1.1.0 līdz 1.6.10

• cPanel, Plesk, ISPConfig, DirectAdmin un citas hostinga vadības sistēmas, kurās integrēts Roundcube.

⇒ Risinājums:

• Nekavējoties atjauniniet uz:

  • 1.6.11 vai

  • 1.5.10 (LTS)

⇒ Plašāka informācija pieejama šeit: https://fearsoff.org/research/roundcube