Kritiek RoundCube-lek maakt remote code execution op mailserver mogelijk
Een kritieke kwetsbaarheid in RoundCube maakt remote code execution op mailservers mogelijk. Een beveiligingsupdate is beschikbaar gemaakt en organisaties worden opgeroepen om die meteen te installeren. Roudcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. De software blijkt url-parameters niet goed te controleren, wat tot 'PHP Object Deserialization' kan leiden. Dit maakt het mogelijk voor aanvallers om code op de server uit te voeren.
Misbruik vereist dat de aanvaller zich op de mailserver kan authenticeren. Dit kan door bijvoorbeeld inloggegevens van een gebruiker te stelen. Deze voorwaarde doet weinig af aan de impact van het beveiligingslek (CVE-2025-49113). Die is namelijk op een schaal van 1 tot en met 10 beoordeeld met een 9.9. De kwetsbaarheid werd ontdekt en gerapporteerd door cybersecuritybedrijf FearsOff.
Het bedrijf wilde de technische details van de kwetsbaarheid op een later moment pas bekend maken. "Vanwege de snelle beschikbaarheid van een patch op GitHub en het feit dat aanvallers de kwetsbaarheid binnen 48 uur al hebben geanalyseerd en tot wapen gemaakt, zijn de technische details eigenlijk niet langer privé", zegt Kirill Firsov van FearsOff.
"Gegeven het actieve misbruik en bewijs dat de exploit wordt verkocht in ondergrondse fora, denk ik dat het in het belang van verdedigers, blue teams en de bredere security community is om een volledige technische uitleg te publiceren, maar de proof-of-concept voorlopig nog achter te houden", gaat Firsov verder. Hij roept organisaties op om meteen te updaten naar RoundCube 1.6.11 of 1.5.10 LTS. RoundCube is in het verleden geregeld doelwit van aanvallen geweest.
Voorzichtig als ik ben, het is waarom ik al die technical contacts op alle domeinen invul, en overal abuse emails op heb gezet, de reden is voornamelijk zo niet enkel, ingrijpen als iets zowaar het hele werken van het internet zou kunnen verstoren, zie ik met apt-get upgrade roundcube dat er nog niks te updaten beschikbaar is. Uit de juiste repository. Zes dagen later.
Nu mag je gegeven paarden als ubuntu niet in de bek kijken natuurlijk. Maar straks gaat het hele internet kapot en zit ik daar mooi met mijn geweten terwijl ik niet eens de abuse emails via webmail meer kan lezen.
Wat kan er dan nog mis gaan? kan deze user de rechten van roundcube user krijgen en via tcp/ip dingen doen (als het van selinux mag)?
Ik verwacht onder windows wel veel meer problemen omdat daar webservices admin rechten heeft.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
SOC Lead
Directie Informatievoorziening & Inkoop
Als SOC Lead ben jij verantwoordelijk voor het aansturen van de dagelijkse operatie binnen het SOC. Je stuurt medewerkers functioneel aan en rapporteert aan de manager. Daarnaast ben je ook betrokken bij SOC-werkzaamheden, zoals het detecteren en afhandelen van security incidenten. Je verzamelt dreigingsinformatie, richt detectie-regels in, en zorgt ervoor dat aanvallers vroegtijdig worden geïdentificeerd.
Senior Security Specialist
Directie Informatievoorziening & Inkoop
Als senior security specialist ben je verantwoordelijk voor het detecteren en af-handelen van (mogelijke) security incidenten. Je vergaart dreigingsinformatie en richt de-tectieregels in op basis van risico's, zodat aanvallers in een vroeg stadium geïden-tificeerd kunnen worden. Deze risico's haal je actief op bij systeemeigenaren. Wanneer een dreiging wordt gedetecteerd, zorg jij ervoor dat de juiste acties worden uitgezet en voorzie jij alle stakeholders van handelings-perspectief.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.