Jetzt patchen: Exploit für kritische Roundcube-Lücke ist öffentlich

Vor wenigen Tagen machten die Webmailer-Entwickler die Lücke publik, nun gibt es einen Beispiel-Exploit. Admins sollten schleunigst reagieren.

Webadmins sollten ihre Roundcube-Webmail-Instanzen zeitnah auf den aktuellen Stand bringen. In aktuellen Ausgaben haben die Entwickler eine Sicherheitslücke geschlossen, über die Schadcode auf Systeme gelangen kann.

Am 5. Juni ist nun ein Beispiel auf Github aufgetaucht, das den konkreten Exploit zeigt. In einer Vorlage für den Schwachstellenscanner Nuclei ist Code enthalten, um eine durch den Scanner vorgegebene URL herunterzuladen und auszuführen. So können Angreifer, die über ein gültiges Mailkonto verfügen, beliebige Kommandos auf dem betroffenen Server ausführen.

Wie aus einem Beitrag hervorgeht, haben sie die "kritische" Sicherheitslücke (CVE-2025-49113) in den Ausgaben 1.5.10 und 1.6.11 geschlossen. Alle vorigen Versionen sollen verwundbar sein.

Trotz der kritischen Einstufung müssen Angreifer authentifiziert sein, um an der Schwachstelle ansetzen zu können. Weil der `from`-Parameter in URLs unter `program/actions/settings/upload.php` nicht ausreichend überprüft wird, können Angreifer eigenen Code ausführen. Es ist davon auszugehen, dass Instanzen nach einer erfolgreichen Attacke vollständig kompromittiert sind.

Auch wenn es noch keine Hinweise auf laufende Attacken gibt, sollten Admins nicht zu lange zögern und das Sicherheitsupdate zeitnah installieren. Dazu raten auch die Entwickler. Den Entdeckern der Schwachstelle von FearsOff zufolge existiert sie seit zehn Jahren und betrifft über 53 Millionen Hosts.

Jetzt patchen: Exploit für kritische Roundcube-Lücke ist öffentlich

A critical security vulnerability (CVE-2025-49113) in Roundcube webmail software was disclosed, with an exploit example now available on GitHub. Admins are urged to update immediately to prevent unauthorized command execution via the 'from' parameter in URLs. The vulnerability affects over 53 million hosts and was discovered by FearsOff, who noted it has existed for ten years.