Critical 10-Year-Old Roundcube Webmail Bug Allows Authenticated Users Run Malicious Code
2025/06/03 TheHackerNews — Roundcube Webmail ソフトウェアに存在する、深刻なセキュリティ脆弱性が発見されたが、10年間にわたって見過ごされていたものであり、その詳細がサイバー・セキュリティ研究者たちにより公表された。この脆弱性が悪用されると、影響を受けるシステムの乗っ取りや、任意のコード実行などにいたる恐れがある。この脆弱性 CVE-2025-49113 (CVSS:9.9) の悪用に成功した攻撃者は、PHP オブジェクトのデシリアライズを通じて、認証後におけるリモートコード実行の可能性を手にする。
NIST NVD (National Vulnerability Database) のページでは、「Roundcube Webmail のバージョン 1.5.10 未満/1.6.11 未満では、URL の “_from” パラメーターが “program/actions/settings/upload.php” で検証されないため、PHP オブジェクトのデシリアライズが発生し、認証済みユーザーによるリモートコード実行が可能になる」と説明されている。
この脆弱性が影響を及ぼす範囲はバージョン 1.6.10 以下であり、すでに 1.6.11/1.5.10 LTS で修正されている。
この脆弱性を発見/報告者したのは、ドバイを拠点とするサイバー・セキュリティ企業 FearsOff の創設者兼 CEO である Kirill Firsov だ。同社はアドバイザリで、近日中に技術的詳細および PoC を公開する予定であると述べており、ユーザーに対してパッチの速やかな適用を呼びかけている。
これまでにおいても、Roundcube で発見されたセキュリティ脆弱性は、APT28 や Winter Vivern などの、国家に支援される脅威アクターにとって魅力的な標的となっていた。2024年に Positive Technologies が明らかにしたのは、正体不明のハッカーが Roundcube の脆弱性 CVE-2024-37383 を悪用し、ユーザー認証情報の窃取を目的とするフィッシング攻撃を試行したことだ。
また数週間前に ESET が明らかにしたのは、Roundcube/Horde/MDaemon/Zimbra などの、Web メール・サーバの XSS 脆弱性を悪用する APT28 が、東欧の政府機関や防衛企業に属する特定のメール・アカウントから機密データを収集していたことだ。
アップデート情報
その一方で、ロシアのサイバー・セキュリティ企業である Positive Technologies も、脆弱性 CVE-2025-49113 の再現に成功したと “X” に投稿している。同社はユーザーに対して、可能な限り早急に、Roundcube の最新バージョンへと更新するよう推奨している。
Positive Technologies は、「この脆弱性を悪用する認証済みのユーザーは、PHP オブジェクトのデシリアライズを介して、任意のコマンドを実行できる」と警告している。
長年にわたり見過ごされていた脆弱性が、重大なセキュリティ・リスクにつながる可能性は、割とよくあることです。ただし、それが、広く使われている Web メール Roundcube に関するものだと、深刻な影響が生じそうですね。ご利用のチームは、ご注意ください。よろしければ、Roundcube で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.