Roundcube Webmail存在反序列化漏洞

业界 来源:微步情报局 2025-06-12 08:45:06

Roundcube Webmail 是一款开源的基于 Web 的多语言 IMAP 客户端,提供类似桌面应用程序的用户体验。

微步情报局获取到Roundcube Webmail存在反序列化漏洞情报(CVE-2025-49113,CNNVD-202506-019)。Roundcube Webmail在上传文件时未对 URL 中的 _from 参数进行验证,攻击者通过构造恶意的 _from 参数触发反序列化造成远程代码执行。

该漏洞为后台漏洞(需要登陆后利用) ,但由于技术细节已公开且影响范围较大,建议受影响用户尽快修复。

漏洞处置优先级(VPT)

漏洞影响范围

漏洞复现

修复方案

官方修复方案:

目前厂商已推出升级版本修复漏洞:

1.6.x升级至1.6.11及以上版本:

https://github.com/roundcube/roundcubemail/releases/tag/1.6.11

1.5.x升级至1.5.10及以上版本:

https://github.com/roundcube/roundcubemail/releases/tag/1.5.10

临时缓解措施:

限制对program/actions/settings/upload.php 的访问

微步产品侧支持情况

微步威胁感知平台TDP 已支持检测,TDP检测ID:S3100160460,模型/规则高于20250609000000可检出。

关注公众号:拾黑(shiheibook)了解更多

赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

*文章为作者独立观点,不代表 K2数据恢复大师 立场
本文由 庞平发表,转载此文章须经作者同意,并请附上出处( K2数据恢复大师 )及本页链接。
原文链接 https ://www.51uos.com/news/industry/9638.html
Roundcube Webmail 反序列化漏洞 微步情报局 CVE-2025-49113 CNNVD-202506-019
公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
猜你喜欢
赞助链接
AiDeep Ued

Copyright © 2023 AiDeep UED All rights reserved.

K2数据恢复大师 版权所有

公司地址:四川省成都市武侯区天府大道北段1700号

邮箱:Miao@1aq.com

关于我们
关于K2
联系我们
产品服务
硬盘数据恢复
U盘数据恢复
误删文件恢复
回收站数据恢复
内存卡数据恢复
用户协议
隐私政策
常见问题
友情链接
申请友链
站点地图
站点标签
关注我们
微信扫码关注公众号
蜀ICP备20019199号-1
iTrust