Katalog CVE

CVE-2025-49113

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Roundcube Webmail w wersjach przed 1.5.10 oraz 1.6.x przed 1.6.11 umożliwia zdalne wykonanie kodu przez uwierzytelnionych użytkowników. Problem wynika z braku walidacji parametru _from w URL w pliku program/actions/settings/upload.php, co prowadzi do deserializacji obiektów PHP.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do przejęcia kontroli nad systemem przez złośliwych użytkowników, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację Roundcube Webmail do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php, leading to PHP Object Deserialization.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS