Roundcube Webmail存在反序列化漏洞
Roundcube Webmail 是一款开源的基于 Web 的多语言 IMAP 客户端,提供类似桌面应用程序的用户体验。
微步情报局获取到Roundcube Webmail存在反序列化漏洞情报(CVE-2025-49113,CNNVD-202506-019)。Roundcube Webmail在上传文件时未对 URL 中的 _from 参数进行验证,攻击者通过构造恶意的 _from 参数触发反序列化造成远程代码执行。
该漏洞为后台漏洞(需要登陆后利用) ,但由于技术细节已公开且影响范围较大,建议受影响用户尽快修复。
漏洞处置优先级(VPT)
漏洞影响范围
漏洞复现
修复方案
官方修复方案:
目前厂商已推出升级版本修复漏洞:
1.6.x升级至1.6.11及以上版本:
https://github.com/roundcube/roundcubemail/releases/tag/1.6.11
1.5.x升级至1.5.10及以上版本:
https://github.com/roundcube/roundcubemail/releases/tag/1.5.10
临时缓解措施:
限制对program/actions/settings/upload.php 的访问
微步产品侧支持情况
微步威胁感知平台TDP 已支持检测,TDP检测ID:S3100160460,模型/规则高于20250609000000可检出。
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注KnowSafe微信公众号随时掌握互联网精彩
- 微软承认Windows 11新问题:记事本、画图、截图通通打不开!好在已修复
- Void:开源免费的AI代码编辑器
- OpenDataV:开源 拖拽式 低代码数据可视化开发平台
- 申请HTTPS证书的具体步骤是什么?
- 下载安装AppNode软件很慢怎么办?
- 苹果矛头直指俄罗斯最大社交应用!
- Python 竟然不是最赚钱的编程语言?!
- 字节迎来新 CFO,或重启上市;马斯克以 440 亿美元收购 Twitter;FFmpeg 支持 JPEG-XL|极客头条
- 亚马逊云科技 INNOVATE | 数据驱动创新在线大会强势来袭!
- PyTorch 1.8 发布,支持 AMD,优化大规模训练
- 申请不同类型的SSL证书,需要什么材料?
- 专访 openEuler 江大勇:对美好的向往就是越有能力越开放
赞助链接
