Se utilizzi Roundcube Webmail, una popolare interfaccia per la posta elettronica, aggiorna immediatamente alla versione 1.6.11 o 1.5.11 (o 1.5.10 dove applicabile). Due vulnerabilità critiche colpiscono le versioni precedenti, permettendo ad attaccanti autenticati di eseguire codice dannoso e rubare dati sensibili come credenziali e token di sessione.
Cosa fare ora?
– Verifica la versione installata.
– Applica l’aggiornamento disponibile.
– Monitora i log per attività sospette.
Queste falle espongono milioni di installazioni, con rischi elevati per server e utenti.
Approfondimento tecnico
La vulnerabilità principale, identificata come CVE-2025-49113, ha un punteggio CVSS 9.9 e consente Remote Code Execution (RCE) post-autenticazione. Si sfrutta un difetto nella deserializzazione di oggetti PHP nel file program/actions/settings/upload.php.
Un attaccante manipola il parametro URL _from inserendo caratteri non validi come ! o .. Questo provoca corruzione della sessione, poiché la funzione unserialize gestisce male il carattere ! negli oggetti serializzati divisi da |. Risultato: esecuzione arbitraria di script sul server.
La patch introduce validazioni rigorose:
`php
if (!rcubeutils::issimple_string($type)) {
rcmail::writelog(‘errors’, ‘The URL parameter “from” contains disallowed characters and the request is thus rejected.’);
$rcmail->output->command(‘display_message’, ‘Invalid input’, ‘error’);
$rcmail->output->send(‘iframe’);
}`
Bloccando caratteri invalidi come ., ! e altri, si previene l’iniezione.
L’altra vulnerabilità è di tipo information disclosure, che espone credenziali, token e dati sensibili. Circa 2,5 milioni di dispositivi risultano potenzialmente vulnerabili secondo scan recenti. Versioni colpite: 1.6.x < 1.6.11 e 1.5.x LTS < 1.5.11 (o < 1.5.10 in alcuni contesti).
Molti provider hanno già distribuito gli aggiornamenti sui propri server.
Fonte: https://cybersecuritynews.com/roundcube-vulnerabilities/
