Kritiek RoundCube-lek maakt remote code execution op mailserver mogelijk

[Captain Kirk]

Een kritieke kwetsbaarheid in RoundCube maakt remote code execution op mailservers mogelijk. Een beveiligingsupdate is beschikbaar gemaakt en organisaties worden opgeroepen om die meteen te installeren. Roudcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. De software blijkt url-parameters niet goed te controleren, wat tot 'PHP Object Deserialization' kan leiden. Dit maakt het mogelijk voor aanvallers om code op de server uit te voeren.

Misbruik vereist dat de aanvaller zich op de mailserver kan authenticeren. Dit kan door bijvoorbeeld inloggegevens van een gebruiker te stelen. Deze voorwaarde doet weinig af aan de impact van het beveiligingslek (CVE-2025-49113). Die is namelijk op een schaal van 1 tot en met 10 beoordeeld met een 9.9. De kwetsbaarheid werd ontdekt en gerapporteerd door cybersecuritybedrijf FearsOff.

Het bedrijf wilde de technische details van de kwetsbaarheid op een later moment pas bekend maken. "Vanwege de snelle beschikbaarheid van een patch op GitHub en het feit dat aanvallers de kwetsbaarheid binnen 48 uur al hebben geanalyseerd en tot wapen gemaakt, zijn de technische details eigenlijk niet langer privé", zegt Kirill Firsov van FearsOff.

"Gegeven het actieve misbruik en bewijs dat de exploit wordt verkocht in ondergrondse fora, denk ik dat het in het belang van verdedigers, blue teams en de bredere security community is om een volledige technische uitleg te publiceren, maar de proof-of-concept voorlopig nog achter te houden", gaat Firsov verder. Hij roept organisaties op om meteen te updaten naar RoundCube 1.6.11 of 1.5.10 LTS. RoundCube is in het verleden geregeld doelwit van aanvallen geweest.

 

bron: https://www.security.nl