image

Kritiek RoundCube-lek maakt remote code execution op mailserver mogelijk

vrijdag 6 juni 2025, 10:13 door Redactie, 3 reacties

Een kritieke kwetsbaarheid in RoundCube maakt remote code execution op mailservers mogelijk. Een beveiligingsupdate is beschikbaar gemaakt en organisaties worden opgeroepen om die meteen te installeren. Roudcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. De software blijkt url-parameters niet goed te controleren, wat tot 'PHP Object Deserialization' kan leiden. Dit maakt het mogelijk voor aanvallers om code op de server uit te voeren.

Misbruik vereist dat de aanvaller zich op de mailserver kan authenticeren. Dit kan door bijvoorbeeld inloggegevens van een gebruiker te stelen. Deze voorwaarde doet weinig af aan de impact van het beveiligingslek (CVE-2025-49113). Die is namelijk op een schaal van 1 tot en met 10 beoordeeld met een 9.9. De kwetsbaarheid werd ontdekt en gerapporteerd door cybersecuritybedrijf FearsOff.

Het bedrijf wilde de technische details van de kwetsbaarheid op een later moment pas bekend maken. "Vanwege de snelle beschikbaarheid van een patch op GitHub en het feit dat aanvallers de kwetsbaarheid binnen 48 uur al hebben geanalyseerd en tot wapen gemaakt, zijn de technische details eigenlijk niet langer privé", zegt Kirill Firsov van FearsOff.

"Gegeven het actieve misbruik en bewijs dat de exploit wordt verkocht in ondergrondse fora, denk ik dat het in het belang van verdedigers, blue teams en de bredere security community is om een volledige technische uitleg te publiceren, maar de proof-of-concept voorlopig nog achter te houden", gaat Firsov verder. Hij roept organisaties op om meteen te updaten naar RoundCube 1.6.11 of 1.5.10 LTS. RoundCube is in het verleden geregeld doelwit van aanvallen geweest.

Reacties (3)
06-06-2025, 17:17 door Anoniem
Op roundcube.net zie ik dat de 1.5.10 update al van 1 juni is.

Voorzichtig als ik ben, het is waarom ik al die technical contacts op alle domeinen invul, en overal abuse emails op heb gezet, de reden is voornamelijk zo niet enkel, ingrijpen als iets zowaar het hele werken van het internet zou kunnen verstoren, zie ik met apt-get upgrade roundcube dat er nog niks te updaten beschikbaar is. Uit de juiste repository. Zes dagen later.

Nu mag je gegeven paarden als ubuntu niet in de bek kijken natuurlijk. Maar straks gaat het hele internet kapot en zit ik daar mooi met mijn geweten terwijl ik niet eens de abuse emails via webmail meer kan lezen.
06-06-2025, 21:28 door Anoniem
Misbruik vereist dat de aanvaller zich op de mailserver kan authenticeren.
Authenticeren als een gewone gebruiker dus en RoundCube heeft geen root/admin rechten.
Wat kan er dan nog mis gaan? kan deze user de rechten van roundcube user krijgen en via tcp/ip dingen doen (als het van selinux mag)?
Ik verwacht onder windows wel veel meer problemen omdat daar webservices admin rechten heeft.
08-06-2025, 16:34 door Anoniem
Door Anoniem:
Misbruik vereist dat de aanvaller zich op de mailserver kan authenticeren.
Authenticeren als een gewone gebruiker dus en RoundCube heeft geen root/admin rechten.
Wat kan er dan nog mis gaan? kan deze user de rechten van roundcube user krijgen en via tcp/ip dingen doen (als het van selinux mag)?
Ik verwacht onder windows wel veel meer problemen omdat daar webservices admin rechten heeft.
Wat kan er nog mis gaan? Famous first and last words in de IT.

Gewone gebruiker kan door ontwerp fout administrratieve acties uitvoeren middels low privilege. Anders was het ook geen 9.9 melding met Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
PoC video https://www.youtube.com/watch?v=TBkTbMJWHJY
Met andere woorden als aanvallers controle kunnen krijgen over 1 reguliere gebruiker is je mailserver fcked.
En we weten allemaal hoe goed gemiddelde gebruikers zijn met hun online veiligheid.

Windows heeft hier niks mee te maken *alle mailservers* zijn kwetsbaar qua Roundcube ouder dan de gestelde patch tenzij je speicfiek hier voor mitigation hebt geschreven en dt is niet plausibel. SELinux is niet een magische fits all kernel security module (helaas) Net als dat een WAF niet alles voorkomt.

Als er een geverifieerde CVSS v3 9.9 binnenkomt dan hoor je alles te droppen en meteen te patchen na korte audit. Daar breek je nog je nachtrust voor af of je pauzeert je vakantie als niemand anders beschikbaar is. Dat ben je verplicht aan je gebruikers, klanten. We hebben het niet over een unofficial mitigation maar een officiele patch. Daar wacht je niet mee.
Dit is *In the wild* Dit is een *kritieke beveiliging issue* Met andere worden *patchen*

Door Anoniem: Op roundcube.net zie ik dat de 1.5.10 update al van 1 juni is.

Voorzichtig als ik ben, het is waarom ik al die technical contacts op alle domeinen invul, en overal abuse emails op heb gezet, de reden is voornamelijk zo niet enkel, ingrijpen als iets zowaar het hele werken van het internet zou kunnen verstoren, zie ik met apt-get upgrade roundcube dat er nog niks te updaten beschikbaar is. Uit de juiste repository. Zes dagen later.

Nu mag je gegeven paarden als ubuntu niet in de bek kijken natuurlijk. Maar straks gaat het hele internet kapot en zit ik daar mooi met mijn geweten terwijl ik niet eens de abuse emails via webmail meer kan lezen.
Als je op de versie zit die je zegt dat je zit ben je veilig voor CVE-2025-49113.
Dank je wel dat je dit serieus hebt genomen want dit was een potentiele major sht situatie we noemen het gekscherend al email armageddon.

De detail vrijgave voor publiek was vertraagt voor noodpatching van Roundcube maar eerder dan verwacht kwamen er al attacks in the wild dus daarom is full disclosure eerder gegeven voor verlopen van de eerder besproken release datum.
Dit is een van de zeldzame situaties dat het verbreken van Responsible disclosure datum de enige correcte actie is.

Alle major vendors die de installatie standaard mee leveren hebben de patching vlak na de publieke release weten uit te voeren dit had hoogte prio. 1 Juni is de originele patch uitgekomen, exact om 1 juni 10:11 AM GMT+2. Echter major dashboard vendors met integratie van Roundcube hadden rond 2 juni de boel op orde.

Omdat Ubuntu standaard niet met Roundcube wordt geleverd heb je dus ook de patch mogelijkheid gehad om direct te patchen vanuit de reguliere repository waar sommige vendors eigen patch releases hebben wegens addon integratie en je dus afhankelijk van hun bent. kortgezegd 1 Juni is correcte patch datum voor jouw situatie met Ubuntu.

Als je het zeker wilt weten kun je Nuclei gebruiken met onderstaande template
Maar een simpele versie check vanuit de GUI moet ook genoeg zijn.
https://github.com/projectdiscovery/nuclei
https://github.com/rxerium/CVE-2025-49113/blob/main/template.yaml
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.