CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-49113

Critical
Published: Translated: NVD NIST

Summary

Roundcube Webmail w wersjach przed 1.5.10 oraz 1.6.x przed 1.6.11 umożliwia zdalne wykonanie kodu przez uwierzytelnionych użytkowników. Problem wynika z braku walidacji parametru _from w URL w pliku program/actions/settings/upload.php, co prowadzi do deserializacji obiektów PHP.

Risk Assessment

Wykorzystanie tej podatności może prowadzić do przejęcia kontroli nad systemem przez złośliwych użytkowników, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację Roundcube Webmail do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji danych wejściowych.

Original NVD description (English source)

Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php, leading to PHP Object Deserialization.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS