Vor wenigen Tagen machten die Webmailer-Entwickler die Lücke publik, nun gibt es einen Beispiel-Exploit. Admins sollten schleunigst reagieren.
Webadmins sollten ihre Roundcube-Webmail-Instanzen zeitnah auf den aktuellen Stand bringen. In aktuellen Ausgaben haben die Entwickler eine Sicherheitslücke geschlossen, über die Schadcode auf Systeme gelangen kann.
Beispielexploit auf Github
Am 5. Juni ist nun ein Beispiel auf Github aufgetaucht, das den konkreten Exploit zeigt. In einer Vorlage für den Schwachstellenscanner Nuclei ist Code enthalten, um eine durch den Scanner vorgegebene URL herunterzuladen und auszuführen. So können Angreifer, die über ein gültiges Mailkonto verfügen, beliebige Kommandos auf dem betroffenen Server ausführen.
Gefahr eindämmen
Wie aus einem Beitrag hervorgeht, haben sie die “kritische” Sicherheitslücke (CVE-2025-49113) in den Ausgaben 1.5.10 und 1.6.11 geschlossen. Alle vorigen Versionen sollen verwundbar sein.
Trotz der kritischen Einstufung müssen Angreifer authentifiziert sein, um an der Schwachstelle ansetzen zu können. Weil der from-Parameter in URLs unter program/actions/settings/upload.php nicht ausreichend überprüft wird, können Angreifer eigenen Code ausführen. Es ist davon auszugehen, dass Instanzen nach einer erfolgreichen Attacke vollständig kompromittiert sind.
Auch wenn es noch keine Hinweise auf laufende Attacken gibt, sollten Admins nicht zu lange zögern und das Sicherheitsupdate zeitnah installieren. Dazu raten auch die Entwickler. Den Entdeckern der Schwachstelle von FearsOff zufolge existiert sie seit zehn Jahren und betrifft über 53 Millionen Hosts.