Эксперты предупреждают, что хакеры начинают эксплуатировать свежую уязвимость (CVE-2025-49113) в опенсорсном почтовом клиенте Roundcube Webmail. Проблема позволяет удаленно выполнить произвольный код.
Уязвимость присутствует в коде Roundcube Webmail более десяти лет и затрагивает версии с 1.1.0 по 1.6.10. Исправление для этой ошибки было выпущено 1 июня 2025 года.
Злоумышленникам потребовалась всего пара дней, чтобы отреверсить это исправление и начать продавать рабочий эксплоит для CVE-2025-49113, который теперь замечен как минимум на одном хакерском форуме.
Roundcube является одним из наиболее популярных решений для работы с веб-почтой, и его предлагают своим клиентам такие известные хостинг-провайдеры, как GoDaddy, Hostinger, Dreamhost и OVH.
Проблема CVE-2025-49113 представляет собой уязвимость удаленного выполнения кода (RCE), которая набрала 9,9 балла из 10 возможных по шкале CVSS. Баг выявил глава компании FearsOff, Кирилл Фирсов, который решил раскрыть технические подробности проблемы, так как эксплоит уже доступен в сети.
«Учитывая активную эксплуатацию и доказательства того, что эксплоит уже продается на андеграундных форумах, я считаю, что в интересах защитников, „синих“ команд и сообщества безопасности в целом опубликовать технический анализ, но пока без полного PoC», — пишет Кирилл Фирсов.
Корень проблемы заключается в отсутствии должной очистки параметра $_GET[‘_from’], что приводит к десериализации объекта PHP. В своем техническом отчете Фирсов объясняет, что если имя переменной сессии начинается с восклицательного знака, сессия нарушается, и появляется возможность для инъекции объектов. Специалист уже опубликовал видео, демонстрирующее процесс эксплуатации уязвимости.
После того как уязвимость была исправлена, злоумышленники проанализировали изменения, внесенные патчем, разработали эксплоит и уже рекламируют его на одном из хакерских форумов.
В объявлении отмечается, что для применения эксплоита потребуется действующий логин. Но злоумышленники уверяют, что это вряд ли станет проблемой, так как учетные данные можно извлечь из логов или применить брутфорс. В свою очередь Фирсов отмечает, что комбинацию учетных данных можно получить и с помощью CSRF.
По словам исследователя, как минимум один брокер уязвимостей готов заплатить до 50 000 долларов за RCE-эксплоиты для Roundcube.
Так как Roundcube предоставляется хостинг-провайдерами и входит в состав панелей управления (cPanel, Plesk), им пользуются многочисленные организации в правительственном, академическом и технологическом секторах.
Кроме того, Фирсов утверждает, что это почтовое приложение настолько широко распространено, что пентестер с большей вероятностью обнаружит установку Roundcube, чем неправильную конфигурацию SSL. Учитывая повсеместное распространение приложения, исследователь предупреждает, что «поверхность атаки не просто большая, это промышленные масштабы» и призывает пользователей как можно скорее установить обновления.
Стоит отметить, что в прошлом баги в Roundcube Webmail неоднократно использовались в атаках такими хак-группами, как APT28, Winter Vivern и TAG-70.
С заботой о вашей безопасности, команда Origin Secuirty
