ISGroup Conseil en Cybersécurité

CVE‑2025‑49113 – Vulnérabilité d’exécution de code à distance dans Roundcube Webmail

Une vulnérabilité critique d’exécution de code à distance (RCE), identifiée sous le nom de CVE‑2025‑49113, a été découverte dans Roundcube Webmail. La faille affecte les versions antérieures à 1.5.10 et les versions 1.6.x antérieures à 1.6.11. Un utilisateur authentifié peut exploiter une validation incorrecte du paramètre _from dans le fichier program/actions/settings/upload.php pour exécuter du code arbitraire sur le serveur. Une preuve de concept (PoC) publique existe et des attaques actives sont en cours. Environ 84 000 instances exposées sur Internet sont vulnérables.

ProduitRoundcube Webmail
Date02/07/2025 10:12:50
Informations
  • Correctif disponible
  • Exploitation active

Résumé technique

Le défaut provient d’une désérialisation non sécurisée par Roundcube de données contrôlées par l’utilisateur envoyées via le paramètre _from — un attaquant disposant d’identifiants valides (par exemple, un utilisateur avec de faibles privilèges) peut envoyer une requête POST spécialement conçue vers upload.php, injectant un objet PHP malveillant conduisant à l’exécution de code arbitraire sur le serveur.

• Impact de l’exploitation : les attaquants peuvent compromettre la confidentialité, l’intégrité et la disponibilité, avec une propagation potentielle à d’autres systèmes. • Les scans de Shadowserver ont identifié plus de 84 000 hôtes vulnérables parmi les principaux fournisseurs cloud et environnements d’hébergement.

Recommandations

1- Appliquer le correctif immédiatement : mettre à jour Roundcube vers la version 1.5.10 ou 1.6.11. 2- Changer les mots de passe : mettre à jour les mots de passe de tous les utilisateurs Roundcube pour empêcher tout accès non autorisé. 3- Appliquer le principe du moindre privilège : s’assurer que l’utilisateur du serveur web (ex. www-data ou nobody) dispose des permissions minimales et éviter de définir des permissions d’écriture larges (ex. 0777) sur les répertoires sensibles. 4- Appliquer une validation des entrées : implémenter une désinfection rigoureuse sur le paramètre _from (ex. n’autoriser que des chaînes simples correspondant à des adresses e-mail ou des chemins internes). 5- Surveiller les journaux : vérifier régulièrement les journaux du serveur (ex. /var/log/litespeed/error.log) à la recherche d’activités suspectes. 6- Désactiver les fonctionnalités inutiles : si possible, désactiver la fonctionnalité de téléchargement des paramètres si elle n’est pas nécessaire.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *