漏洞概述 | |||
漏洞名称 | Roundcube Webmail 后台代码执行漏洞 | ||
漏洞编号 | QVD-2025-21762,CVE-2025-49113 | ||
公开时间 | 2025-06-02 | 影响量级 | 十万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 9.9 |
威胁类型 | 代码执行 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 未发现 |
EXP状态 | 已公开 | 技术细节状态 | 已公开 |
危害描述:允许认证攻击者通过构造恶意文件名触发反序列化,最终实现远程命令执行从而完全接管服务器。 | |||
01 漏洞详情
影响组件
Roundcube Webmail 是一款基于浏览器的多语言 IMAP 客户端,拥有类似应用程序的用户界面。它提供了您期望从电子邮件客户端获得的全部功能,包括 MIME 支持、地址簿、文件夹管理、邮件搜索和拼写检查。
漏洞描述
近日,奇安信CERT监测到官方修复Roundcube Webmail 后台代码执行漏洞(CVE-2025-49113),该漏洞是Roundcube Webmail的自定义反序列化函数在处理包含特定分隔符时存在逻辑错误,允许认证攻击者通过构造恶意文件名触发反序列化,最终实现远程命令执行从而完全接管服务器。目前该漏洞技术细节与PoC已在互联网上公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
02 影响范围
影响版本
Roundcube Webmail<1.5.10< p="">
Roundcube Webmail<1.6.11< p="">
其他受影响组件
无
03 复现情况
目前,奇安信威胁情报中心安全研究员已成功复现Roundcube Webmail 后台代码执行漏洞(CVE-2025-49113),截图如下:
04 受影响资产情况
奇安信鹰图资产测绘平台数据显示,Roundcube Webmail 后台代码执行漏洞(CVE-2025-49113)关联的国内风险资产总数为57430个,关联IP总数为7345个。全球风险资产分布情况如下:
Roundcube Webmail 后台代码执行漏洞(CVE-2025-49113)关联的全球风险资产总数为1985313个,关联IP总数为224197个。全球风险资产分布情况如下:
05 处置建议
安全更新
目前官方已有可更新版本,建议受影响用户升级至最新版本:
Roundcube Webmail >=1.5.10
Roundcube Webmail >=1.6.11
官方补丁下载链接:
https://roundcube.net/
06 参考资料
[1]https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
