CVE-2025-49113
CriticalSummary
Roundcube Webmail w wersjach przed 1.5.10 oraz 1.6.x przed 1.6.11 umożliwia zdalne wykonanie kodu przez uwierzytelnionych użytkowników. Problem wynika z braku walidacji parametru _from w URL w pliku program/actions/settings/upload.php, co prowadzi do deserializacji obiektów PHP.
Risk Assessment
Wykorzystanie tej podatności może prowadzić do przejęcia kontroli nad systemem przez złośliwych użytkowników, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Recommendation
Zaleca się aktualizację Roundcube Webmail do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji danych wejściowych.
Original NVD description (English source)
Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php, leading to PHP Object Deserialization.

