https://blog.qife122.com/tags/webmail/ Recent content in Webmail on 办公AI智能小助手 Hugo zh-cn qife Thu, 01 Jan 2026 02:32:04 +0800 https://blog.qife122.com/p/roundcube-webmail-%E6%9B%9D%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E8%AE%A4%E8%AF%81%E7%94%A8%E6%88%B7%E5%8F%AF%E9%80%9A%E8%BF%87php%E5%AF%B9%E8%B1%A1%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E5%AE%9E%E7%8E%B0%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C/ Thu, 01 Jan 2026 02:32:04 +0800 https://blog.qife122.com/p/roundcube-webmail-%E6%9B%9D%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E8%AE%A4%E8%AF%81%E7%94%A8%E6%88%B7%E5%8F%AF%E9%80%9A%E8%BF%87php%E5%AF%B9%E8%B1%A1%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E5%AE%9E%E7%8E%B0%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C/ <h2 id="漏洞详情">漏洞详情</h2> <p><strong>严重性等级：</strong> 严重</p> <p><strong>包管理器：</strong> Composer</p> <p><strong>受影响的软件包：</strong> roundcube/roundcubemail (Composer)</p> <p><strong>受影响的版本：</strong></p> <ul> <li>小于 1.5.10 的所有版本</li> <li>大于等于 1.6.0 但小于 1.6.11 的所有版本</li> </ul> <p><strong>已修复版本：</strong></p> <ul> <li>1.5.10</li> <li>1.6.11</li> </ul> <h2 id="漏洞描述">漏洞描述</h2> <p>在 Roundcube Webmail 1.5.10 之前版本以及 1.6.x 系列中 1.6.11 之前的版本，存在一个允许远程代码执行的漏洞。该漏洞源于 <code>program/actions/settings/upload.php</code> 文件中未能对URL中的 <code>_from</code> 参数进行充分验证，从而导致PHP对象反序列化问题，使得经过身份验证的用户可以执行远程代码。</p>