CVE‑2025‑49113 – Vulnerabilità di Esecuzione Remota di Codice in Roundcube Webmail

Una grave vulnerabilità di esecuzione remota di codice (RCE), identificata come CVE‑2025‑49113, è stata scoperta in Roundcube Webmail. La falla interessa le versioni precedenti alla 1.5.10 e le versioni 1.6.x precedenti alla 1.6.11. Un utente autenticato può sfruttare una convalida impropria del parametro _from nel file program/actions/settings/upload.php per eseguire codice arbitrario sul server. Esiste un proof-of-concept pubblico e sono in corso attacchi attivi. Circa 84.000 istanze esposte su internet risultano vulnerabili.

Roundcube Webmail
2025-07-02 10:12:50
Fix Available, Active Exploitation

Riassunto tecnico

Il difetto deriva dalla deserializzazione non sicura da parte di Roundcube di dati controllati dall’utente inviati tramite il parametro _from — un attaccante con credenziali valide (ad esempio, un utente con bassi privilegi) può inviare una richiesta POST appositamente creata a upload.php, iniettando un oggetto PHP malevolo che porta all’esecuzione arbitraria di codice sul server.

• Impatto dell’exploit: gli attaccanti possono compromettere la riservatezza, l’integrità e la disponibilità, potenzialmente propagandosi ad altri sistemi.
• Le scansioni di Shadowserver hanno identificato oltre 84.000 host vulnerabili tra i principali provider cloud e ambienti di hosting.

Raccomandazioni

1- Applicare la patch immediatamente: aggiornare Roundcube alla versione 1.5.10 o 1.6.11.
2- Cambiare le password: aggiornare le password di tutti gli utenti Roundcube per impedire accessi non autorizzati.
3- Applicare il principio del minimo privilegio: assicurarsi che l’utente del server web (es. www-data o nobody) abbia i permessi minimi e evitare di impostare permessi di scrittura ampi (es. 0777) su directory sensibili.
4- Applicare una validazione dell’input: implementare una sanificazione rigorosa sul parametro _from (es. permettere solo stringhe semplici che corrispondano ad indirizzi email o percorsi interni).
5- Monitorare i log: controllare regolarmente i log del server (es. /var/log/litespeed/error.log) alla ricerca di attività sospette.
6- Disabilitare le funzionalità non necessarie: se possibile, disabilitare la funzionalità di caricamento delle impostazioni se non necessaria.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In