В начале июня стало известно о новой критической уязвимости CVE-2025-49113 в популярном опенсорсном почтовом клиенте Roundcube Webmail, который используют многие компании. Оценка CVE-2025-49113 – 9,9 балла из 10 возможных по шкале CVSS, что составляет почти максимальный риск в случае ее успешной эксплуатации. Хорошая новость в том, разработчик уже выпустил необходимые обновления. Кроме того, от угрозы может защитить WAF (межсетевой экран уровня приложений). В частности, платформа для защиты от веб-угроз «Вебмониторэкс» может детектировать данную уязвимость и блокировать попытки ее эксплуатации хакерами.
Уязвимость очень опасна: она позволяет удаленно выполнить произвольный код (RCE-атака). В случае успеха злоумышленник получает полный контроль над целевой системой, включая доступ к конфиденциальным данным. Баг был исправлен разработчиком 1 июня, однако в даркнете уже появился соответствующий эксплойт. Несмотря на то, что уязвимость обнаружена только сейчас, она присутствует в коде Roundcube Webmail более десяти лет и затрагивает версии с 1.1.0 по 1.6.10, что делает проблему актуальной для большого числа пользователей. При этом для эксплуатации требуются низкие привилегии – достаточно учётной записи пользователя.
Данный баг обнаружил исследователь Кирилл Фирсов, глава компании FearsOff. Он же приводит технические подробности проблемы. Когда Roundcube обрабатывает параметр _from, он не очищает его должным образом. И если передать в него сериализованный PHP-объект, система попытается его "распаковать" и выполнит, что приведет к атаке типа Insecure deserialization.
«Удаленное исполнение кода – это серьезная угроза для веб-приложений и компании в целом. Примерно четверть атак, отражаемых платформой «Вебмониторэкс», приходится именно на RCE. Мы рекомендуем компаниям оперативно принять необходимые меры. Во-первых, проверить, используется ли в компании Roundcube Webmail и установить обновление. При невозможности обновления сервиса в ближайшее время проверить есть ли в вашем WAF детект на эту уязвимости. Если нет, то установить на WAF виртуальный патч - правила, блокирующие любые запросы, похожие на эксплуатацию обнаруженной уязвимости», — отметил Динко Димитров, руководитель продуктового развития компании Вебмониторэкс.
Однако при использовании платформы «Вебмониторэкс» у администраторов нет необходимости создавать виртуальные патчи, так как средство защиты уже умеет выявлять и блокировать уязвимость CVE-2025-49113.