CVE-2025-49113
Оценки
EPSS
Процентиль: 0.0%
Описание
Roundcube Webmail версии 1.5.10 и 1.6.x до 1.6.11 позволяет выполнить удаленное выполнение кода аутентифицированными пользователями, поскольку параметр _from в URL-адресе не проверяется в program/actions/settings/upload.php, что приводит к десериализации объекта PHP [1]. Уязвимость была исправлена в версиях 1.6.11 и 1.5.10. Настоятельно рекомендуется обновить все производственные установки Roundcube 1.6.x и 1.5.x до этих версий [2].
Источники:
- [1] https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
- [2] https://github.com/roundcube/roundcubemail/pull/9865
- [3] https://github.com/roundcube/roundcubemail/releases/tag/1.6.11
- [4] https://github.com/roundcube/roundcubemail/commit/0376f69e958a8fef7f6f09e352c541b4e7729c4d
- [5] https://github.com/roundcube/roundcubemail/releases/tag/1.5.10
Сканер-ВС 7 — современное решение для управления уязвимостями
Источники
Связанные уязвимости
Эксплойты
ID эксплойта: CVE-2025-49113
Источник: github-poc
Уязвимое ПО (2)
Тип: Конфигурация
Операционная система:
{
"children": [
{
"cpe_match": [
{
"cpe23uri": "cpe:2.3:a:roundcube:roundcube:*:*:*:*:*:php:*:*",
"versionEndExcluding": "1.5.10"
},
{
...{
"children": [
{
"cpe_match": [
{
"cpe23uri": "cpe:2.3:a:roundcube:roundcube:*:*:*:*:*:php:*:*",
"versionEndExcluding": "1.5.10"
},
{
"cpe23uri": "cpe:2.3:a:roundcube:roundcube:*:*:*:*:*:php:*:*",
"versionEndExcluding": "1.6.11",
"versionStartIncluding": "1.6.0"
}
],
"negate": false,
"operator": "OR"
},
{
"cpe_match": [
{
"cpe23uri": "cpe:2.3:a:roundcube:webmail:*:*:*:*:*:php:*:*",
"versionEndExcluding": "1.5.10"
},
{
"cpe23uri": "cpe:2.3:a:roundcube:webmail:*:*:*:*:*:php:*:*",
"versionEndExcluding": "1.6.11",
"versionStartIncluding": "1.6.0"
}
],
"negate": false,
"operator": "OR"
}
],
"operator": "OR"
}Источник: anchore_overrides
Тип: Конфигурация
Продукт: roundcube
Операционная система: debian
{
"fixed": "1.6.11+dfsg-1"
}Источник: debian