Эксплойт для Roundcube уже на форумах
🧩 Некоторые уязвимости спят в коде годами, но просыпаются мгновенно. CVE-2025-49113 в Roundcube пролежала в исходниках больше десяти лет, а уже через пару суток после патча была превращена в рабочий эксплойт. Столь короткий цикл обратной разработки подчёркивает зрелость атакующих и даёт повод переосмыслить скорость установки обновлений как критический параметр безопасности, а не рутинную обязанность.
🔬 Ключ к атаке — десериализация PHP-объектов через параметр $_GET['_from']. Что делает уязвимость особенно неприятной — её скрытность и пост-аутентификационный характер: формально нужен вход в систему, но на практике это не преграда. CSRF, перебор паролей, анализ логов — всё давно отточено. Факт, что уязвимость распространяется на версии от 1.1.0 до 1.6.10, покрывает почти весь живой зоопарк Roundcube-инстансов.
🧠 Roundcube — не просто "ещё одна веб-почта". Он встроен в инфраструктуру множества провайдеров и панелей управления. Вектор атаки, направленный на такую систему, получает масштаб воздействия, сравнимый с уязвимостями в популярных VPN или CMS. Активная эксплуатация уже началась — и это предупреждение всей отрасли: технический долг, даже в "неочевидных" системах, рано или поздно превращается в "прорыв плотины".
#roundcube #webmail #уязвимость #эксплойт
@ZerodayAlert
🧩 Некоторые уязвимости спят в коде годами, но просыпаются мгновенно. CVE-2025-49113 в Roundcube пролежала в исходниках больше десяти лет, а уже через пару суток после патча была превращена в рабочий эксплойт. Столь короткий цикл обратной разработки подчёркивает зрелость атакующих и даёт повод переосмыслить скорость установки обновлений как критический параметр безопасности, а не рутинную обязанность.
🔬 Ключ к атаке — десериализация PHP-объектов через параметр $_GET['_from']. Что делает уязвимость особенно неприятной — её скрытность и пост-аутентификационный характер: формально нужен вход в систему, но на практике это не преграда. CSRF, перебор паролей, анализ логов — всё давно отточено. Факт, что уязвимость распространяется на версии от 1.1.0 до 1.6.10, покрывает почти весь живой зоопарк Roundcube-инстансов.
🧠 Roundcube — не просто "ещё одна веб-почта". Он встроен в инфраструктуру множества провайдеров и панелей управления. Вектор атаки, направленный на такую систему, получает масштаб воздействия, сравнимый с уязвимостями в популярных VPN или CMS. Активная эксплуатация уже началась — и это предупреждение всей отрасли: технический долг, даже в "неочевидных" системах, рано или поздно превращается в "прорыв плотины".
#roundcube #webmail #уязвимость #эксплойт
@ZerodayAlert
SecurityLab.ru
Хакеры среагировали быстрее админов — рабочий эксплойт для Roundcube уже в сети
Уязвимость десятилетней давности теперь в руках злоумышленников — и они не теряют времени.
❤1👍1😢1😍1