Door Anoniem: Misbruik vereist dat de aanvaller zich op de mailserver kan authenticeren.
Authenticeren als een gewone gebruiker dus en RoundCube heeft geen root/admin rechten.
Wat kan er dan nog mis gaan? kan deze user de rechten van roundcube user krijgen en via tcp/ip dingen doen (als het van selinux mag)?
Ik verwacht onder windows wel veel meer problemen omdat daar webservices admin rechten heeft.
Wat kan er nog mis gaan? Famous first and last words in de IT.
Gewone gebruiker kan door ontwerp fout administrratieve acties uitvoeren middels low privilege. Anders was het ook geen 9.9 melding met Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
PoC video
https://www.youtube.com/watch?v=TBkTbMJWHJYMet andere woorden als aanvallers controle kunnen krijgen over 1 reguliere gebruiker is je mailserver fcked.
En we weten allemaal hoe goed gemiddelde gebruikers zijn met hun online veiligheid.
Windows heeft hier niks mee te maken *alle mailservers* zijn kwetsbaar qua Roundcube ouder dan de gestelde patch tenzij je speicfiek hier voor mitigation hebt geschreven en dt is niet plausibel. SELinux is niet een magische fits all kernel security module (helaas) Net als dat een WAF niet alles voorkomt.
Als er een geverifieerde CVSS v3 9.9 binnenkomt dan hoor je alles te droppen en meteen te patchen na korte audit. Daar breek je nog je nachtrust voor af of je pauzeert je vakantie als niemand anders beschikbaar is. Dat ben je verplicht aan je gebruikers, klanten. We hebben het niet over een unofficial mitigation maar een officiele patch. Daar wacht je niet mee.
Dit is *In the wild* Dit is een *kritieke beveiliging issue* Met andere worden *patchen*
Door Anoniem: Op roundcube.net zie ik dat de 1.5.10 update al van 1 juni is.
Voorzichtig als ik ben, het is waarom ik al die technical contacts op alle domeinen invul, en overal abuse emails op heb gezet, de reden is voornamelijk zo niet enkel, ingrijpen als iets zowaar het hele werken van het internet zou kunnen verstoren, zie ik met apt-get upgrade roundcube dat er nog niks te updaten beschikbaar is. Uit de juiste repository. Zes dagen later.
Nu mag je gegeven paarden als ubuntu niet in de bek kijken natuurlijk. Maar straks gaat het hele internet kapot en zit ik daar mooi met mijn geweten terwijl ik niet eens de abuse emails via webmail meer kan lezen.
Als je op de versie zit die je zegt dat je zit ben je veilig voor CVE-2025-49113.
Dank je wel dat je dit serieus hebt genomen want dit was een potentiele major sht situatie we noemen het gekscherend al email armageddon.
De detail vrijgave voor publiek was vertraagt voor noodpatching van Roundcube maar eerder dan verwacht kwamen er al attacks in the wild dus daarom is full disclosure eerder gegeven voor verlopen van de eerder besproken release datum.
Dit is een van de zeldzame situaties dat het verbreken van Responsible disclosure datum de enige correcte actie is.
Alle major vendors die de installatie standaard mee leveren hebben de patching vlak na de publieke release weten uit te voeren dit had hoogte prio. 1 Juni is de originele patch uitgekomen, exact om 1 juni 10:11 AM GMT+2. Echter major dashboard vendors met integratie van Roundcube hadden rond 2 juni de boel op orde.
Omdat Ubuntu standaard niet met Roundcube wordt geleverd heb je dus ook de patch mogelijkheid gehad om direct te patchen vanuit de reguliere repository waar sommige vendors eigen patch releases hebben wegens addon integratie en je dus afhankelijk van hun bent. kortgezegd 1 Juni is correcte patch datum voor jouw situatie met Ubuntu.
Als je het zeker wilt weten kun je Nuclei gebruiken met onderstaande template
Maar een simpele versie check vanuit de GUI moet ook genoeg zijn.
https://github.com/projectdiscovery/nucleihttps://github.com/rxerium/CVE-2025-49113/blob/main/template.yaml