06/06/25
Критическая уязвимость CVE-2025-49113 , обнаруженная в популярной системе веб-почты Roundcube, оказалась в арсенале киберпреступников всего через пару дней после выхода исправления. Злоумышленники оперативно проанализировали внесённые в код изменения, воспроизвели механизм атаки и начали продавать рабочий эксплойт на хакерских форумах. Проблема затрагивает версии Roundcube от 1.1.0 до 1.6.10 и сохранялась в коде более десяти лет.
Roundcube широко распространён в хостинг-среде и используется крупнейшими провайдерами, включая GoDaddy, Hostinger, Dreamhost и OVH, согласно Securitylab. Также он входит в состав панелей управления вроде cPanel и Plesk, а потому активно применяется в образовательных, правительственных и технологических организациях по всему миру. По оценкам исследователей, число развёрнутых экземпляров превышает 1,2 миллиона.
Уязвимость представляет собой ошибку в обработке параметра$_GET['_from'], что позволяет производить десериализацию PHP-объектов. При определённом формате имени переменной сессия повреждается, и атакующий может внедрить вредоносный объект. Несмотря на то, что для эксплуатации требуется авторизация, этот барьер не считается серьёзным: доступ можно получить путём перебора паролей, извлечения логов или проведения CSRF-атаки.
Исследователь Кирилл Фирсов, глава компании FearsOff, сообщил, что из-за активной эксплуатации он решил обнародовать технические детали уязвимости раньше окончания срока ответственного раскрытия. Хотя полноценный PoC опубликован не был, выложенной информации достаточно, чтобы понять суть уязвимости и механизм её использования.
В частности, он отметил, что злоумышленникам потребовалось всего несколько дней на реверс-инжиниринг исправления и создание рабочего эксплойта. Это подчёркивает, насколько опасным может быть временной зазор между выпуском обновления и его фактической установкой на уязвимых системах. На форумах эксплойт уже появился с пометкой, что для его использования необходимы действительные учётные данные.
По словам Фирсова, одна из компаний-брокеров уязвимостей готова платить до 50 тысяч долларов за рабочую цепочку эксплуатации данной проблемы. Он также подчеркнул, что при пентестах найти Roundcube-инстанс легче, чем уязвимость в SSL, настолько широко распространён этот продукт.
Несмотря на относительную неизвестность Roundcube среди рядовых пользователей, он считается одной из самых гибких и настраиваемых систем веб-почты — поддерживает более 200 параметров конфигурации и распространяется бесплатно. Именно эта популярность делает уязвимость особенно опасной: масштаб возможных атак охватывает всю индустрию.
Фирсов также опубликовал демонстрационное видео атаки с использованием ошибочного идентификатора уязвимости CVE-2025-48745, который впоследствии был отклонён как дубликат CVE-2025-49113. Однако сам механизм атаки остаётся идентичным.
