Alert GCSA-25073 - Vulnerabilita' in Roundcube Webmail
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-25073
data: 10 giugno 2025
titolo: Vulnerabilita' in Roundcube Webmail
******************************************************************
:: Descrizione del problema
Il primo giugno e' stato rilasciato un aggiornamento di sicurezza per Roundcube Webmail,
per risolvere una vulnerabilita' critica.
Il bug, identificato come CVE-2025-49113, ha un punteggio CVSS di 9,9 ed e' di tipo RCE.
Per essere sfruttato e' necessario possedere delle credenziali valide.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software / Dispositivi interessati
Roundcube Webmail versioni precedenti alla 1.5.10
Roundcube Webmail versioni precedenti alla 1.6.11
:: Impatto
Esecuzione remota di codice arbitrario (RCE)
:: Soluzioni
Aggiornare il prodotto alle ultime versioni
https://github.com/roundcube/roundcubemail/releases/tag/1.5.10
https://github.com/roundcube/roundcubemail/releases/tag/1.6.11
Se non e' possibile aggiornare, si consiglia di limitare l'accesso all'interfaccia webmail,
disattivare l'upload dei file, aggiungere la protezione agli attacchi CSRF,
bloccare le funzioni PHP rischiose e monitorare gli indicatori di exploit.
:: Riferimenti
Security updates 1.6.11 and 1.5.10 released
https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
FearsOff Research
https://fearsoff.org/research/roundcube
https://youtu.be/TBkTbMJWHJY
The Hacker News
https://thehackernews.com/2025/06/critical-10-year-old-roundcube-webmail.html
SecurityWeek
https://www.securityweek.com/exploited-vulnerability-impacts-over-80000-roundcube-servers/
Bleeping Computer
https://www.bleepingcomputer.com/news/security/hacker-selling-critical-roundcube-webmail-exploit-as-tech-info-disclosed/
SOCRadar blog
https://socradar.io/cve-2025-49113-roundcube-vulnerability-rce/
Debian security advisory
https://lists.debian.org/debian-lts-announce/2025/06/msg00008.html
https://security-tracker.debian.org/tracker/DSA-5934-1
Riferimenti CVE
https://www.cve.org/CVERecord?id=CVE-2025-49113
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaEg5Wg0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBC8zIAn00tOBvWhlWQshqm0Pd38tPtEmkbAJ9ICTvSlzao
gueToCsqAzz7iir74A==
=JZ0j
-----END PGP SIGNATURE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-25073
data: 10 giugno 2025
titolo: Vulnerabilita' in Roundcube Webmail
******************************************************************
:: Descrizione del problema
Il primo giugno e' stato rilasciato un aggiornamento di sicurezza per Roundcube Webmail,
per risolvere una vulnerabilita' critica.
Il bug, identificato come CVE-2025-49113, ha un punteggio CVSS di 9,9 ed e' di tipo RCE.
Per essere sfruttato e' necessario possedere delle credenziali valide.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software / Dispositivi interessati
Roundcube Webmail versioni precedenti alla 1.5.10
Roundcube Webmail versioni precedenti alla 1.6.11
:: Impatto
Esecuzione remota di codice arbitrario (RCE)
:: Soluzioni
Aggiornare il prodotto alle ultime versioni
https://github.com/roundcube/roundcubemail/releases/tag/1.5.10
https://github.com/roundcube/roundcubemail/releases/tag/1.6.11
Se non e' possibile aggiornare, si consiglia di limitare l'accesso all'interfaccia webmail,
disattivare l'upload dei file, aggiungere la protezione agli attacchi CSRF,
bloccare le funzioni PHP rischiose e monitorare gli indicatori di exploit.
:: Riferimenti
Security updates 1.6.11 and 1.5.10 released
https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
FearsOff Research
https://fearsoff.org/research/roundcube
https://youtu.be/TBkTbMJWHJY
The Hacker News
https://thehackernews.com/2025/06/critical-10-year-old-roundcube-webmail.html
SecurityWeek
https://www.securityweek.com/exploited-vulnerability-impacts-over-80000-roundcube-servers/
Bleeping Computer
https://www.bleepingcomputer.com/news/security/hacker-selling-critical-roundcube-webmail-exploit-as-tech-info-disclosed/
SOCRadar blog
https://socradar.io/cve-2025-49113-roundcube-vulnerability-rce/
Debian security advisory
https://lists.debian.org/debian-lts-announce/2025/06/msg00008.html
https://security-tracker.debian.org/tracker/DSA-5934-1
Riferimenti CVE
https://www.cve.org/CVERecord?id=CVE-2025-49113
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaEg5Wg0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBC8zIAn00tOBvWhlWQshqm0Pd38tPtEmkbAJ9ICTvSlzao
gueToCsqAzz7iir74A==
=JZ0j
-----END PGP SIGNATURE-----