Roundcube Web Emağında, kimlik doğrulamalı saldırganların savunmasız sistemlerde keyfi kod yürütmesine izin verebilecek ve potansiyel olarak dünya çapında milyonlarca enstalasyonu etkileyebilecek on yıllık bir kritik güvenlik açığı keşfedilmiştir.
CVE-2025-49113 olarak izlenen kusur, son yıllarda keşfedilen en şiddetli güvenlik açıklarından biri olarak işaretleyerek 10.0 üzerinden 9,9’luk endişe verici bir CVSS puanı taşıyor.
Güvenlik açığı, 1.6.11’den önce 1.5.10 ve 1.6.x’den önce tüm Roundcube Web Emniyeti sürümlerini etkiler ve küresel olarak 53 milyondan fazla ana bilgisayar içeren şaşırtıcı bir etki kapsamını temsil eder.
.png
)
Kusur, özellikle varsayılan WebMail çözümü olarak roundcube’yi paketleyen CPanel, Plesk, ISPConfig ve DirectAdmin gibi popüler web barındırma kontrol panelleri ile ilgilidir.
10 yıllık Roundcube RCE güvenlik açığı
Dubai merkezli siber güvenlik firması Fearsoff’un kurucusu ve CEO’su Kirill Firsov, PHP nesnesi seansizasyonundan yararlanan bu onaylanmış uzaktan kod yürütme kırılganlığını keşfetti.
Güvenlik kusuru, _from içindeki URL’deki parametre program/actions/settings/upload.php Dosya, kötü amaçlı kullanıcıların serileştirilmiş PHP nesnelerini manipüle etmesini ve sunucuda keyfi kod yürütmesini etkinleştirir.
Roundcube tarihsel olarak gelişmiş kalıcı tehdit grupları için ana hedef olmuştur. Webmail platformundaki önceki güvenlik açıkları, APT28 ve Winter Vivern dahil olmak üzere ulus devlet aktörleri tarafından kullanılmıştır.
Geçen yıl, kimliği belirsiz bilgisayar korsanları, kullanıcı kimlik bilgilerini çalmayı amaçlayan kimlik avı saldırılarında CVE-2024-37383’ten yararlanmaya çalıştı.
Daha yakın zamanlarda, ESET araştırmacıları, APT28’in Roundcube de dahil olmak üzere çeşitli webmail sunucularında, Doğu Avrupa’daki hükümet kuruluşlarından ve savunma şirketlerinden gizli verileri hasat etmek için yerler arası komut dosyaları kullanma güvenlik açıklarını belgeledi.
Siber Güvenlik Merkezi Belçika, kuruluşların kapsamlı testlerden sonra en yüksek önceliğe sahip güncellemeler kurmasını şiddetle tavsiye ederek acil uyarılar yayınladı. Sabit sürümler artık güvenlik açığını ele alan Roundcube Web Em 1.6.11 ve 1.5.10 LTS ile kullanılabilir.
FearSoff, etkilenen tarafların gerekli yamaları uygulamaya kadar yeterli zaman tanıyacak sorumlu ifşa uygulamalarının ardından kapsamlı teknik detaylar ve kavram kanıtı “yakında” yayınlama planlarını gösterdi.
Bu yaklaşım, siber güvenlik topluluğunun, ayrıntılı sömürü yöntemleri kamuya açıklanmadan önce kuruluşlara sistemlerini güvence altına almak için yeterli zaman sağlama taahhüdünü göstermektedir.
Roundcube webmail kullanan kuruluşlar, bu kritik güvenlik açığının kullanılmasını gösterebilecek şüpheli faaliyetleri tespit etmek için derhal yamalamaya öncelik vermeli ve gelişmiş izleme özelliklerini uygulamalıdır.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği