Eine alarmierende Sicherheitslücke in der weit verbreiteten Webmail-Lösung Roundcube gefährdet derzeit über 84.925 Installationen weltweit. Trotz verfügbarer Patches seit mehreren Monaten bleiben diese Systeme anfällig für die kritische Schwachstelle CVE-2025-49113, wie Daten der Shadowserver Foundation belegen.
Zehnjährige Schwachstelle mit maximaler Kritikalität
Die Sicherheitslücke CVE-2025-49113 erhielt eine CVSS-Bewertung von 9,9 von 10 Punkten und gilt damit als extrem kritisch. Besonders beunruhigend ist die Tatsache, dass diese Schwachstelle bereits seit über einem Jahrzehnt im Code von Roundcube Webmail existiert und alle Versionen von 1.1.0 bis 1.6.10 betrifft.
Kirill Firsov, Geschäftsführer der Sicherheitsfirma FearsOff und Entdecker der Vulnerability, veröffentlichte Anfang Juni 2025 technische Details, nachdem entsprechende Exploits bereits öffentlich verfügbar waren. Die Schwachstelle basiert auf unzureichender Validierung des $_GET[‚_from‘] Parameters, was zu gefährlicher PHP-Objektdeserialisierung führt.
Angriffsmechanismus und verfügbare Exploits
Der technische Kern der Schwachstelle liegt in der fehlerhaften Behandlung von Session-Variablen, die mit einem Ausrufezeichen beginnen. Dies führt zu Session-Störungen und ermöglicht die Einschleusung bösartiger Objekte. Obwohl CVE-2025-49113 eine Authentifizierung erfordert, nutzen Angreifer verschiedene Methoden zur Kompromittierung von Zugangsdaten:
Cyberkriminelle setzen dabei auf Credential-Harvesting aus Systemlogs, Brute-Force-Attacken sowie CSRF-Angriffe zur Kontoübernahme. Besonders besorgniserregend ist, dass öffentliche Exploits bereits in Underground-Foren kursieren und die Hackergruppe UNC1151 die Schwachstelle aktiv in Phishing-Kampagnen einsetzt.
Bedrohungslandschaft und geografische Verteilung
Roundcube Webmail zählt zu den populärsten E-Mail-Lösungen für Unternehmen und Privatnutzer. Major-Hosting-Provider wie GoDaddy, Hostinger, Dreamhost und OVH setzen die Software ein, zusätzlich ist sie in cPanel und Plesk integriert.
Von den über 1,2 Millionen aktiven Roundcube-Installationen weltweit sind die meisten gefährdeten Systeme in folgenden Ländern konzentriert: USA mit 19.500 Installationen, Indien mit 15.500, Deutschland mit 13.600, Frankreich mit 3.600, Kanada mit 3.500 und Großbritannien mit 2.400 betroffenen Systemen.
Sofortige Schutzmaßnahmen und Updates
Der offizielle Patch für CVE-2025-49113 wurde am 1. Juni 2025 veröffentlicht. Systemadministratoren sollten umgehend auf die gesicherten Versionen 1.6.11 oder 1.5.10 aktualisieren.
Für Organisationen, die kurzfristig keine Updates durchführen können, empfehlen Sicherheitsexperten folgende Interim-Schutzmaßnahmen: Firewall-basierte Zugriffsbeschränkungen auf Webmail-Dienste, Deaktivierung der Datei-Upload-Funktionalität, Implementierung zusätzlicher CSRF-Schutzmaßnahmen, Blockierung kritischer PHP-Funktionen sowie verstärktes Monitoring der Systemlogs auf Anzeichen von Exploitation-Versuchen.
Langfristige Auswirkungen auf die IT-Sicherheit
Dieser Vorfall unterstreicht die kritische Bedeutung regelmäßiger Sicherheitsaudits und zeitnaher Patch-Implementierung. Die zehnjährige Existenz der Schwachstelle verdeutlicht die Notwendigkeit tiefgreifender Legacy-Code-Analysen in weitverbreiteten Open-Source-Lösungen.
Organisationen, die Roundcube Webmail in geschäftskritischen Prozessen einsetzen, sollten zusätzliche Sicherheitsebenen implementieren, einschließlich Multi-Faktor-Authentifizierung, Netzwerksegmentierung und regelmäßiger Datensicherung. Die aktive Ausnutzung durch Cyberkriminelle erfordert sofortiges Handeln aller Systemadministratoren, um potenzielle Kompromittierungen und Datenlecks zu verhindern.
