Roundcube Webmail 曝高危漏洞：认证用户可通过PHP对象反序列化实现远程代码执行

漏洞详情

严重性等级： 严重

包管理器： Composer

受影响的软件包： roundcube/roundcubemail (Composer)

受影响的版本：

小于 1.5.10 的所有版本
大于等于 1.6.0 但小于 1.6.11 的所有版本

已修复版本：

1.5.10
1.6.11

漏洞描述

在 Roundcube Webmail 1.5.10 之前版本以及 1.6.x 系列中 1.6.11 之前的版本，存在一个允许远程代码执行的漏洞。该漏洞源于 program/actions/settings/upload.php 文件中未能对URL中的 _from 参数进行充分验证，从而导致PHP对象反序列化问题，使得经过身份验证的用户可以执行远程代码。

参考资料

https://nvd.nist.gov/vuln/detail/CVE-2025-49113
roundcube/roundcubemail#9865
roundcube/roundcubemail@0376f69
roundcube/roundcubemail@7408f31
roundcube/roundcubemail@c50a07d
https://github.com/roundcube/roundcubemail/releases/tag/1.5.10
https://github.com/roundcube/roundcubemail/releases/tag/1.6.11
https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
https://fearsoff.org/research/roundcube
http://www.openwall.com/lists/oss-security/2025/06/02/3
https://lists.debian.org/debian-lts-announce/2025/06/msg00008.html
https://www.vicarius.io/vsociety/posts/cve-2025-49113-roundcube-mitigation-script
https://www.vicarius.io/vsociety/posts/cve-2025-49113-roundcube-vulnerability-detection

安全评分

CVSS 总体评分： 10.0 (严重)

CVSS v3.1 向量： AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

CVSS v3 基础指标：

攻击向量： 网络
攻击复杂度： 低
所需权限： 低
用户交互： 无
影响范围： 已更改
机密性影响： 高
完整性影响： 高
可用性影响： 高

EPSS 分数： 91.835% (第100百分位)

安全弱点

CWE ID： CWE-502 弱点描述： 不可信数据的反序列化。产品在反序列化不可信数据时，未能充分确保结果数据的有效性。

标识符

CVE ID： CVE-2025-49113
GHSA ID： GHSA-8j8w-wwqc-x596

源代码

roundcube/roundcubemail

致谢

Malayke (分析师)