Roundcube Webmail反序列化漏洞CVE-2025-49113

Roundcube Webmail是一款开源的基于Web的电子邮件客户端，其基于浏览器，而且支持多国语言，操作界面看起像一个桌面应用程序。

一、基本情况

Roundcube Webmail提供类桌面应用操作界面和完整电子邮件功能，包括MIME支持、地址簿管理、文件夹操作、邮件搜索和拼写检查等。

栋科技漏洞库关注到Roundcube Webmail在1.5.10之前和低于1.6.11的1.6.x版本中存在漏洞，追踪为CVE-2025-49113，CVSS评分为9.9。

二、漏洞分析

CVE-2025-49113漏洞存在于Roundcube Webmail 版本的1.5.10之后及1.6.11之前的1.6.x版本中，允许通过身份验证的用户远程执行代码。

该漏洞源于program/actions/settings/upload.php文件中未对 _from参数进行验证，导致允许经身份验证用户触发反序列化，执行远程代码。

正是由于该缺陷导致 PHP 对象反序列化漏洞的出现，允许经过身份验证的用户执行远程代码，建议受影响用户做好资产自查及预防工作。

三、影响范围

Roundcube Webmail < 1.5.10

1.6.0 <= Roundcube Webmail < 1.6.11

四、修复建议

官方已发布修复方案，受影响的用户建议及时更新至对应安全版本。

Roundcube Webmail >= 1.5.10

Roundcube Webmail >=1.6.11

五、参考链接

https://github.com/roundcube/roundcubemail/pull/9865

https://github.com/roundcube/roundcubemail/releases/tag/1.5.10

https://github.com/roundcube/roundcubemail/releases/tag/1.6.11

https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10

此处内容已隐藏，评论后刷新即可查看！