Исследователи безопасности обнаружили серьезную угрозу для пользователей популярной системы веб-почты Roundcube Webmail. Согласно данным The Shadowserver Foundation, более 84 925 установок остаются уязвимыми перед критической проблемой CVE-2025-49113, несмотря на доступность исправления уже в течение нескольких месяцев.
Десятилетняя уязвимость с критическим рейтингом
Уязвимость CVE-2025-49113 получила максимальный рейтинг 9,9 балла из 10 по шкале CVSS, что указывает на ее крайне высокую опасность. Особенно тревожным является тот факт, что эта проблема существовала в коде Roundcube Webmail более десяти лет, затрагивая все версии с 1.1.0 по 1.6.10.
Глава компании FearsOff Кирилл Фирсов, который выявил данную уязвимость, решил раскрыть технические подробности в начале июня 2025 года после того, как эксплоит уже появился в открытом доступе. Проблема связана с недостаточной очисткой параметра $_GET[‘_from’], что приводит к опасной десериализации объектов PHP.
Механизм эксплуатации и доступные эксплоиты
Техническая суть уязвимости заключается в том, что когда имя переменной сессии начинается с восклицательного знака, происходит нарушение сессии, создающее возможность для инъекции вредоносных объектов. Хотя для успешной эксплуатации CVE-2025-49113 требуется аутентификация, злоумышленники используют различные методы получения учетных данных:
• Извлечение из системных логов
• Атаки методом перебора (брутфорс)
• Использование CSRF-атак для компрометации учетных записей
Особую озабоченность вызывает тот факт, что публичные эксплоиты уже активно распространяются на теневых форумах, а киберпреступная группа UNC1151 начала использовать данную уязвимость в фишинговых кампаниях.
Масштаб угрозы и география распространения
Roundcube Webmail является одним из наиболее популярных решений для корпоративной и частной электронной почты. Его используют крупнейшие хостинг-провайдеры, включая GoDaddy, Hostinger, Dreamhost и OVH, а также интегрируют в панели управления cPanel и Plesk.
Анализ показывает, что в сети функционирует более 1,2 миллиона установок Roundcube Webmail. Наибольшее количество уязвимых систем сосредоточено в следующих странах:
• США — 19 500 установок
• Индия — 15 500 установок
• Германия — 13 600 установок
• Франция — 3 600 установок
• Канада — 3 500 установок
• Великобритания — 2 400 установок
Рекомендации по защите и обновлению
Исправление для CVE-2025-49113 было выпущено 1 июня 2025 года. Администраторам настоятельно рекомендуется немедленно обновить системы до защищенных версий 1.6.11 или 1.5.10.
Для организаций, которые по техническим причинам не могут выполнить обновление незамедлительно, эксперты рекомендуют применить следующие временные меры защиты:
• Ограничение доступа к веб-почте через файрволлы
• Отключение функции загрузки файлов
• Внедрение дополнительной защиты от CSRF-атак
• Блокирование потенциально опасных PHP-функций
• Усиленный мониторинг системных логов на предмет признаков эксплуатации
Долгосрочные последствия для индустрии
Данный инцидент подчеркивает критическую важность регулярного аудита безопасности программного обеспечения и своевременного применения обновлений. Факт существования уязвимости в течение десяти лет демонстрирует необходимость более глубокого анализа legacy-кода в популярных открытых решениях.
Организациям, использующим Roundcube Webmail в критически важных процессах, следует рассмотреть возможность внедрения дополнительных уровней защиты, включая многофакторную аутентификацию, сегментацию сети и регулярное резервное копирование данных. Активное использование данной уязвимости киберпреступниками требует немедленных действий от всех администраторов систем для предотвращения потенциальных компрометаций и утечек конфиденциальной информации.
