Lỗi Webmail Roundcube 10 năm tuổi cho phép người dùng đã xác thực chạy mã độc

[Network Engineer]

Các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về một lỗ hổng bảo mật nghiêm trọng trong phần mềm webmail Roundcube đã không được chú ý trong một thập kỷ và có thể bị khai thác để chiếm quyền kiểm soát các hệ thống dễ bị tấn công và thực thi mã tùy ý.

Lỗ hổng này, được theo dõi là CVE-2025-49113, có điểm CVSS là 9,9 trên 10,0. Nó được mô tả là trường hợp thực thi mã từ xa sau khi xác thực thông qua việc hủy tuần tự hóa đối tượng PHP.

"Webmail Roundcube trước 1.5.10 và 1.6.x trước 1.6.11 cho phép người dùng đã xác thực thực thi mã từ xa vì tham số _from trong URL không được xác thực trong program/actions/settings/upload.php, dẫn đến việc hủy tuần tự hóa đối tượng PHP", mô tả về lỗ hổng trong Cơ sở dữ liệu lỗ hổng quốc gia (NVD) của NIST nêu rõ.

Điểm yếu này, ảnh hưởng đến tất cả các phiên bản phần mềm trước và bao gồm cả 1.6.10, đã được giải quyết trong 1.6.11 và 1.5.10 LTS. Kirill Firsov, nhà sáng lập kiêm giám đốc điều hành của FearsOff, được ghi nhận là người phát hiện và báo cáo lỗi này.

Công ty an ninh mạng có trụ sở tại Dubai đã lưu ý trong một bản tư vấn ngắn rằng họ có ý định công khai các chi tiết kỹ thuật bổ sung và bằng chứng khái niệm (PoC) "sớm" để người dùng có đủ thời gian áp dụng các bản vá cần thiết.

Các lỗ hổng bảo mật được tiết lộ trước đây trong Roundcube đã trở thành mục tiêu béo bở cho các tác nhân đe dọa quốc gia như APT28 và Winter Vivern. Năm ngoái, Positive Technologies tiết lộ rằng tin tặc không xác định đã cố gắng khai thác lỗ hổng Roundcube (CVE-2024-37383) như một phần của cuộc tấn công lừa đảo được thiết kế để đánh cắp thông tin đăng nhập của người dùng.

Sau đó, vài tuần trước, ESET đã lưu ý rằng APT28 đã tận dụng các lỗ hổng cross-site scripting (XSS) trong nhiều máy chủ webmail như Roundcube, Horde, MDaemon và Zimbra để thu thập dữ liệu bí mật từ các tài khoản email cụ thể thuộc về các tổ chức chính phủ và công ty quốc phòng ở Đông Âu.

Positive Technologies, trong một bài đăng được công bố trên X, cho biết họ có thể tái tạo CVE-2025-49113, kêu gọi người dùng cập nhật lên phiên bản mới nhất của Roundcube càng sớm càng tốt.

"Lỗ hổng này cho phép người dùng đã xác thực thực hiện các lệnh tùy ý thông qua việc hủy tuần tự hóa đối tượng PHP", công ty an ninh mạng của Nga cho biết thêm.