Siber güvenlik araştırmacıları, Roundcube webmail yazılımında on yıl boyunca fark edilmeyen ve duyarlı sistemleri ele geçirmek ve keyfi kod yürütmek için sömürülebilen kritik bir güvenlik kusurunun ayrıntılarını açıkladılar.
Güvenlik açığı, CVE-2025-4911310.0 üzerinden 9,9 CVSS puanı taşır. PHP nesnesi Desarizasyon yoluyla onay sonrası uzaktan kod yürütme vakası olarak tanımlanmıştır.
“1.6.11’den önce 1.5.10 ve 1.6.x roundcube webmail, kimlik doğrulamalı kullanıcılar tarafından uzaktan kod yürütülmesine izin verir, çünkü bir URL’deki _FROM parametresi program/eylemler/ayarlar/upload.php’de valide edilmemiştir,” PHP nesnesi sazizleşmesine yol açar, “NIST’in ulusal rahatsızlık veritabanı (NVD) içindeki kusurun açıklamasını okur.
1.6.10’dan önce ve dahil olmak üzere yazılımın tüm sürümlerini etkileyen eksiklik 1.6.11 ve 1.5.10 LTS’de ele alınmıştır. Fearsoff’un kurucusu ve CEO’su Kirill Firsov, kusuru keşfetmek ve raporlamakla kredilendirildi.
Dubai merkezli siber güvenlik şirketi, kullanıcılara gerekli yamaları uygulamak için yeterli zaman vermek için kamuya ek teknik detaylar ve konsept kanıtı (POC) “yakında” yapmayı planladığını belirtti.
https://www.youtube.com/watch?v=tbktbmjwhjy
Daha önce açıklanan açıklanan güvenlik açıkları, APT28 ve Winter Vivern gibi ulus-devlet tehdit aktörleri için kazançlı bir hedef olmuştur. Geçen yıl, pozitif teknolojiler, kimliği belirsiz bilgisayar korsanlarının, kullanıcı kimlik bilgilerini çalmak için tasarlanmış bir kimlik avı saldırısının bir parçası olarak bir yuvarlak küp kusurunu (CVE-2024-37383) kullanmaya çalıştığını ortaya koydu.
Daha sonra birkaç hafta önce ESET, APT28’in Roundcube, Horde, MDAemon ve Zimbra gibi çeşitli webmail sunucularında, Eastern Avrupa’daki devlet kuruluşlarına ve savunma şirketlerine ait belirli e-posta hesaplarından gizli verileri hasat etmek için çeşitli webmail sunucularında kullandığını belirtti.