CVE-2025-49113

Medienbericht

EPSS 88.03%
Veröffentlicht 02.06.2025 00:00:00
Zuletzt bearbeitet 12.06.2025 17:15:29
Quelle cve@mitre.org
CVE-Watchlists
Login
Unerledigt
Login

Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php, leading to PHP Object Deserialization.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 1 Referenzen 17

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch das CVE Programm von einer CVE Numbering Authority (CNA) (Unstrukturiert).

HerstellerRoundcube

≫

Produkt Webmail

Default Statusunaffected

Version < 1.5.10

Version 0

Status affected

Version < 1.6.11

Version 1.6.0

Status affected

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	88.03%	0.994

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
cve@mitre.org	9.9	3.1	6	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

CWE-502 Deserialization of Untrusted Data

The product deserializes untrusted data without sufficiently ensuring that the resulting data will be valid.

https://www.heise.de/news/Kritische-Schadcode-Luecke-bedroht-Roundcube-Webmail-10423965.html

Medienbericht

heise Security

https://www.heise.de/news/Roundcube-Webmail-Mehr-als-10-000-verwundbare-Instanzen-in-Deutschland-10441859.html

Medienbericht

heise Security

https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10

https://github.com/roundcube/roundcubemail/pull/9865

https://github.com/roundcube/roundcubemail/releases/tag/1.6.11

https://github.com/roundcube/roundcubemail/commit/0376f69e958a8fef7f6f09e352c541b4e7729c4d

https://github.com/roundcube/roundcubemail/releases/tag/1.5.10

https://github.com/roundcube/roundcubemail/commit/7408f31379666124a39f9cb1018f62bc5e2dc695

https://github.com/roundcube/roundcubemail/commit/c50a07d88ca38f018a0f4a0b008e9a1deb32637e

https://fearsoff.org/research/roundcube

http://www.openwall.com/lists/oss-security/2025/06/02/3

https://lists.debian.org/debian-lts-announce/2025/06/msg00008.html

https://www.vicarius.io/vsociety/posts/cve-2025-49113-roundcube-mitigation-script

https://www.vicarius.io/vsociety/posts/cve-2025-49113-roundcube-vulnerability-detection

https://nvd.nist.gov/vuln/detail/CVE-2025-49113

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2025-49113

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2025-49113

EUVD