Peneliti cybersecurity telah mengungkapkan rincian cacat keamanan kritis dalam perangkat lunak webmail RoundCube yang tidak diperhatikan selama satu dekade dan dapat dieksploitasi untuk mengambil alih sistem yang rentan dan menjalankan kode sewenang -wenang.
Kerentanan, dilacak sebagai CVE-2025-49113membawa skor CVSS 9,9 dari 10,0. Ini telah digambarkan sebagai kasus eksekusi kode jarak jauh pasca-autentikasi melalui deserialisasi objek PHP.
“RoundCube Webmail Sebelum 1.5.10 dan 1.6.x Sebelum 1.6.11 memungkinkan eksekusi kode jarak jauh oleh pengguna yang diautentikasi karena parameter _from dalam URL tidak divalidasi dalam program/tindakan/pengaturan/unggah.php, yang mengarah ke deserialisasi objek PHP,” membaca deskripsi flaw dalam database kerentanan nasional NIST.
Kekurangan, yang memengaruhi semua versi perangkat lunak sebelum dan termasuk 1.6.10, telah ditangani dalam 1.6.11 dan 1.5.10 lts. Kirill Firsov, pendiri dan CEO Fearsoff, telah dikreditkan dengan menemukan dan melaporkan cacat.
Perusahaan cybersecurity yang berbasis di Dubai mencatat dalam nasihat singkat bahwa mereka bermaksud untuk membuat detail teknis tambahan publik dan Proof-of-Concept (POC) “segera” sehingga memberi pengguna waktu yang cukup untuk menerapkan tambalan yang diperlukan.
https://www.youtube.com/watch?v=tbktbmjwhjy
Kerentanan keamanan yang sebelumnya diungkapkan di RoundCube telah menjadi target yang menguntungkan bagi para aktor ancaman negara-bangsa seperti APT28 dan Winter Vivern. Tahun lalu, Teknologi Positif mengungkapkan bahwa peretas tak dikenal berusaha mengeksploitasi cacat Roundcube (CVE-2024-37383) sebagai bagian dari serangan phishing yang dirancang untuk mencuri kredensial pengguna.
Kemudian beberapa minggu yang lalu, ESET mencatat bahwa APT28 telah memanfaatkan kerentanan scripting lintas-situs (XSS) di berbagai server webmail seperti Roundcube, Horde, Mdaemon, dan Zimbra untuk memanen data rahasia dari akun email tertentu yang dimiliki oleh perusahaan pemerintah dan perusahaan pertahanan di Eropa Timur.
