Roundcube Webmail存在反序列化漏洞
Roundcube Webmail 是一款开源的基于 Web 的多语言 IMAP 客户端,提供类似桌面应用程序的用户体验。
微步情报局获取到Roundcube Webmail存在反序列化漏洞情报(CVE-2025-49113,CNNVD-202506-019)。Roundcube Webmail在上传文件时未对 URL 中的 _from 参数进行验证,攻击者通过构造恶意的 _from 参数触发反序列化造成远程代码执行。
该漏洞为后台漏洞(需要登陆后利用) ,但由于技术细节已公开且影响范围较大,建议受影响用户尽快修复。
漏洞处置优先级(VPT)
漏洞影响范围
漏洞复现
修复方案
官方修复方案:
目前厂商已推出升级版本修复漏洞:
1.6.x升级至1.6.11及以上版本:
https://github.com/roundcube/roundcubemail/releases/tag/1.6.11
1.5.x升级至1.5.10及以上版本:
https://github.com/roundcube/roundcubemail/releases/tag/1.5.10
临时缓解措施:
限制对program/actions/settings/upload.php 的访问
微步产品侧支持情况
微步威胁感知平台TDP 已支持检测,TDP检测ID:S3100160460,模型/规则高于20250609000000可检出。
关注公众号:拾黑(shiheibook)了解更多
赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

随时掌握互联网精彩
- 全部针对Windows用户!我国境内捕获银狐木马病毒变种:远程控制、窃密
- Dedecms标签生成器的功能详解与高效使用技巧
- QQ浏览器宣布接入DeepSeek-R1满血版:支持深度思考、联网搜索
- couo福利姬图库 V1.0.2
- 统信软件受邀出席2023云栖大会,共促中国操作系统创新发展
- 能源国际合作不断取得新突破
- 过气光刻机也不能卖给中国!美国无理施压荷兰ASML,国产芯片再遭打压
- 就这效果,黑猫警长给满分啊
- 谁是中国反垄断监管下的赢家,心动网络、哈啰出行、名创优品、元气森林、小红书?
- 杨元庆称联想肯定不造车;东鹏饮料A股主板上市;盒马将启用新型智慧价签,可显示商品上架时间 | Do 晚报
- 2020年美陆军十大最酷的科技发展
- 在英雄联盟地图中寻找“数据结构的大门”