Roundcube Webmail存在反序列化漏洞

Roundcube Webmail 是一款开源的基于 Web 的多语言 IMAP 客户端，提供类似桌面应用程序的用户体验。

微步情报局获取到Roundcube Webmail存在反序列化漏洞情报(CVE-2025-49113，CNNVD-202506-019)。Roundcube Webmail在上传文件时未对 URL 中的 _from 参数进行验证，攻击者通过构造恶意的 _from 参数触发反序列化造成远程代码执行。

该漏洞为后台漏洞（需要登陆后利用） ，但由于技术细节已公开且影响范围较大，建议受影响用户尽快修复。

漏洞处置优先级(VPT)

漏洞影响范围

漏洞复现

修复方案

官方修复方案：

目前厂商已推出升级版本修复漏洞：

1.6.x升级至1.6.11及以上版本：

https://github.com/roundcube/roundcubemail/releases/tag/1.6.11

1.5.x升级至1.5.10及以上版本：

https://github.com/roundcube/roundcubemail/releases/tag/1.5.10

临时缓解措施：

限制对program/actions/settings/upload.php 的访问

微步产品侧支持情况

微步威胁感知平台TDP 已支持检测，TDP检测ID：S3100160460，模型/规则高于20250609000000可检出。

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/