Podatność w Roundcube Webmail umożliwia uwierzytelnionym użytkownikom zdalne wykonanie kodu (RCE) poprzez niezwalidowany parametr _from w pliku upload.php. Ze względu na obecność na liście CISA KEV oraz ocenę CVSS 9.9, zagrożenie należy traktować jako krytyczne i wymagające natychmiastowej reakcji.
▸ Pokaż oryginał (EN)
Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php, leading to PHP Object Deserialization.
W pliku program/actions/settings/upload.php parametr _from przekazywany w adresie URL nie podlega żadnej walidacji. Atakujący może przekazać spreparowany payload, który zostaje poddany deserializacji PHP (PHP Object Deserialization), co prowadzi do wykonania dowolnego kodu po stronie serwera. Atak wymaga posiadania ważnego konta użytkownika w aplikacji, natomiast nie wymaga żadnych uprawnień administracyjnych.
Atakujący może przejąć pełną kontrolę nad serwerem, na którym działa Roundcube Webmail — uzyskując dostęp do przechowywanych danych, możliwość ich modyfikacji lub trwałego usunięcia, a także potencjalnie umożliwiając sobie lateral movement w sieci wewnętrznej.
Należy natychmiast zaktualizować Roundcube Webmail do wersji 1.5.10 lub 1.6.11. Patche dostępne są w repozytorium projektu (commity: 0376f69, 7408f31, c50a07d). W przypadku braku możliwości natychmiastowej aktualizacji zaleca się ograniczenie dostępu do instancji Roundcube do zaufanych sieci oraz wzmożony monitoring logów aplikacji.
Roundcube Webmail w wersjach przed 1.5.10 oraz w gałęzi 1.6.x przed 1.6.11, a także systemy oparte na Debian Linux dostarczające te wersje pakietu.
Podatność opisana i opublikowana przez badacza pod pseudonimem fearsoff (źródło: https://fearsoff.org/research/roundcube). Podatność znajduje się na liście aktywnie exploitowanych zagrożeń CISA Known Exploited Vulnerabilities (KEV).
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HDebian
OSDebian11.0Roundcube Webmail
APPRoundcube< 1.5.101.6.0 – 1.6.11 (bez)
CISA KEV — szczegółyi
- Dostawcai
- Roundcube
- Produkti
- Webmail
- Data dodania do KEVi
- 20 lutego 2026
- Termin remediation (USA)i
- 13 marca 2026(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
RoundCube Webmail zawiera lukę podatności w deserializacji niezaufanych danych, która pozwala na zdalne wykonanie kodu przez uwierzytelnionych użytkowników, ponieważ parametr _from w adresie URL nie jest walidowany w program/actions/settings/upload.php.
▸ Pokaż oryginał (EN)
RoundCube Webmail contains a deserialization of untrusted data vulnerability that allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php.
Powiązane podatności
GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER
Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)
Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)
Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki
Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych