🧩 Tổng quan
CVE-2025-49113 là một lỗ hổng nghiêm trọng trong phần mềm Roundcube Webmail, cho phép người dùng đã xác thực thực hiện Remote Code Execution (RCE) thông qua PHP Object Deserialization. Lỗ hổng này ảnh hưởng đến các phiên bản trước 1.5.10 và 1.6.x trước 1.6.11.
🛠️ Chi tiết kỹ thuật
Lỗ hổng xuất phát từ việc thiếu xác thực tham số _from trong tệp program/actions/settings/upload.php. Khi tham số này không được kiểm tra đúng cách, kẻ tấn công có thể gửi dữ liệu độc hại, dẫn đến việc deserialization các đối tượng PHP không an toàn, từ đó thực thi mã tùy ý trên máy chủ.
“Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php, leading to PHP Object Deserialization.”
— NVD
📈 Mức độ nghiêm trọng
- CVSS v3.1 Score: 9.9/10
- Mức độ: Critical
- Yêu cầu xác thực: Có
- Tác động: Toàn bộ hệ thống có thể bị kiểm soát bởi kẻ tấn công đã xác thực.
🧪 Khai thác và PoC
Lỗ hổng được phát hiện bởi Kirill Firsov từ FearsOff. Hiện tại, chưa có bằng chứng về việc khai thác lỗ hổng này trong thực tế. Tuy nhiên, do mức độ nghiêm trọng cao, các tổ chức nên cập nhật phần mềm ngay lập tức để phòng ngừa.
🩹 Bản vá và khuyến nghị
✅ Phiên bản đã được vá:
- 1.5.10
- 1.6.11
🔒 Khuyến nghị:
- Cập nhật Roundcube Webmail lên phiên bản mới nhất.
- Giới hạn quyền truy cập vào giao diện quản trị và các chức năng nhạy cảm.
- Theo dõi các bản ghi hệ thống để phát hiện hoạt động bất thường.
- Áp dụng các biện pháp bảo mật bổ sung như WAF và kiểm tra deserialization.
🔗 Tham khảo
Bài viết được tổng hợp từ các nguồn chính thức và uy tín.
