- شناسه CVE-2025-49113 :CVE
- CWE-502 :CWE
- yes :Advisory
- منتشر شده: ژوئن 2, 2025
- به روز شده: ژوئن 12, 2025
- امتیاز: 9.9
- نوع حمله: Remote code execution(RCE)
- اثر گذاری: Unknown
- حوزه: نرم افزارهای کاربردی
- برند: Roundcube
- محصول: Webmail
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری بحرانی در Roundcube Webmail نسخههای پیش از 1.5.10 و 1.6.11 شناسایی شده است که به دلیل ضعف در اعتبارسنجی پارامتر _from در فایل upload.php، امکان اجرای کد از راه دور توسط کاربران احراز هویتشده را فراهم میکند.
توضیحات
آسیبپذیری CVE-2025-49113 در نرمافزار Roundcube Webmail، یک پلتفرم ایمیل مبتنی بر وب، ناشی از ضعف در سریالسازی ناامن آبجکت(PHP Object Deserialization) مطابق با CWE-502 در فایل program/actions/settings/upload.php است.
این ضعف به دلیل عدم اعتبارسنجی مناسب پارامتر _from در درخواستهای ارسالی به این فایل ایجاد شده و به کاربران احراز هویتشده اجازه میدهد دادههای مخرب را به سرور ارسال کرده و کد دلخواه را اجرا کنند.
این آسیبپذیری نسخههای 0 تا 1.5.9 و 1.6.0 تا 1.6.10 را تحت تأثیر قرار میدهد و به دلیل امکان اجرای کد از راه دور با دسترسی پایین (کاربر معمولی)، ریسک بسیار بالایی دارد. تأثیرات آن شامل نقض کامل محرمانگی، یکپارچگی و دسترسپذیری سیستم است، زیرا مهاجم میتواند کنترل سرور را به دست آورده، دادههای حساس کاربران را استخراج کرده یا سیستم را به بخشی از یک شبکه مخرب تبدیل کند.
یک کد اثبات مفهومی (PoC) برای این آسیبپذیری منتشر شده است که با استفاده از اسکریپت exp.py، فرآیند سوءاستفاده را نشان می دهد. این PoC با استفاده از نام کاربری و رمز عبور معتبر، یک دستور دلخواه (مانند “id”) را روی سرور اجرا کرده و امکان سوءاستفاده را تأیید میکند.
تیم Roundcube این آسیب پذیری را در نسخههای 1.5.10 و 1.6.11 پچ کرده است. این بهروزرسانیها اعتبارسنجی مناسب برای پارامتر _from را پیادهسازی کرده و سریالسازی ناامن را حذف میکند.
CVSS
| Score | Severity | Version | Vector String |
| 9.9 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 0 before 1.5.10
affected from 1.6.0 before 1.6.11 |
Webmail |
لیست محصولات بروز شده
| Versions | Product |
| 1.5.10
1.6.11 |
Webmail |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Roundcube Webmail را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق یا استفاده واقعی آن نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Product |
| 816 | Roundcube Webmail |
نتیجه گیری
با توجه به شدت بحرانی این آسیبپذیری و امکان اجرای کد دلخواه از راه دور توسط کاربران احراز هویتشده، امنیت سرورهای Roundcube Webmail و دادههای کاربران در معرض ریسک جدی قرار دارد. برای کاهش احتمال سوءاستفاده و تقویت امنیت، توصیه میشود اقدامات زیر بهطور همزمان اجرا شوند:
- بهروزرسانی فوری نرمافزار: به روزرسانی به نسخههای 1.5.10 و 1.6.11 یا بالاتر که شامل اصلاحات امنیتی برای پارامتر_fromو حذف ضعف سریالسازی ناامن هستند.
- تقویت اعتبارسنجی ورودیها: اطمینان از بررسی و فیلتر دقیق تمامی پارامترهای ورودی، بهویژه _from، برای جلوگیری از ارسال دادههای مخرب.
- محدودسازی دسترسی کاربران: کاربران احراز هویتشده باید تنها به منابع و امکانات مورد نیاز دسترسی داشته باشند و اجرای دستورات حساس محدود شود.
- مانیتورینگ و ثبت لاگ: فعالسازی ثبت لاگ و نظارت مستمر بر تغییرات و فعالیتهای مشکوک کاربران احراز هویتشده برای شناسایی و پاسخ سریع به تلاشهای سوءاستفاده.
- تقویت مکانیزم های امنیتی مکمل: استفاده از مکانیزمهایی مانند احراز هویت چندعاملی (MFA) برای کاهش اثر سوءاستفاده در صورت نفوذ اولیه.
اجرای همزمان این اقدامات احتمال بهرهبرداری موفق را به حداقل رسانده و امنیت عملیاتی سرورهای Roundcube Webmail را بهطور مؤثر تضمین میکند.
امکان استفاده در تاکتیک های Mitre Attack
- Initial Access (TA0001)
T1190 – Exploit Public-Facing Application
مهاجم با سوءاستفاده از ضعف سریالسازی ناامن در پارامتر _from نرمافزار Roundcube Webmail میتواند از راه دور و با دسترسی کاربر احراز هویتشده، به اجرای کد دلخواه روی سرور دست یابد. - Execution (TA0002)
T1059 – Command and Scripting Interpreter
مهاجم با ارسال دادههای مخرب به تابع سریالسازی ناامن، قادر است کد دلخواه خود را روی سرور اجرا کند. - Persistence (TA0003)
T1543 – Create or Modify System Process
پس از دسترسی، مهاجم ممکن است سرویسها یا فرایندهای سیستم را تغییر دهد تا دسترسی خود را حفظ کند. - Privilege Escalation (TA0004)
T1068 – Exploitation for Privilege Escalation
ممکن است مهاجم با استفاده از آسیبپذیریهای دیگر سیستم، امتیازات بیشتری کسب کند. - Defense Evasion (TA0005)
T1562 – Impair Defenses
مهاجم ممکن است لاگها یا مکانیزمهای نظارت را دستکاری کند تا فعالیتهای مخرب خود را مخفی نگه دارد. - Credential Access (TA0006)
T1003 – Credential Dumping
با دسترسی به سرور، مهاجم ممکن است اقدام به استخراج دادههای حساس و اعتبارنامهها کند. - Impact (TA0040)
T1499 – Endpoint Denial of Service
مهاجم با اجرای کد مخرب میتواند سرویسهای Roundcube را مختل کند یا سرور را از دسترس خارج سازد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-49113
- https://www.cvedetails.com/cve/CVE-2025-49113/
- https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-49113
- https://vuldb.com/?id.310787
- https://github.com/Zwique/CVE-2025-49113
- https://github.com/roundcube/roundcubemail/pull/9865
- https://github.com/roundcube/roundcubemail/releases/tag/1.6.11
- https://github.com/roundcube/roundcubemail/releases/tag/1.5.10
- https://github.com/roundcube/roundcubemail/commit/7408f31379666124a39f9cb1018f62bc5e2dc695
- https://fearsoff.org/research/roundcube
- https://www.vicarius.io/vsociety/posts/cve-2025-49113-roundcube-vulnerability-detection
- https://www.vicarius.io/vsociety/posts/cve-2025-49113-roundcube-mitigation-script
- http://www.openwall.com/lists/oss-security/2025/06/02/3
- https://lists.debian.org/debian-lts-announce/2025/06/msg00008.html
- https://nvd.nist.gov/vuln/detail/CVE-2025-49113
- https://cwe.mitre.org/data/definitions/502.html
