据报道,黑客正在利用CVE-2025-49113这一关键漏洞,该漏洞存在于广泛使用的开源邮件应用Roundcube中,允许远程代码执行。该安全问题已经在Roundcube中存在了十多年,影响了1.1.0至1.6.10版本。报道来源。
这一漏洞于6月1日获得修复,但攻击者仅用了几天时间就反向工程修复程序,利用该漏洞,并开始在至少一个黑客论坛上出售有效的漏洞利用。Roundcube是最受欢迎的邮件解决方案之一,因为知名的托管服务提供商如GoDaddy、Hostinger、Dreamhost或OVH都包括了这一产品。
根据安全公司FearsOff的CEO Kirill Firsov的说法,该漏洞是一种后认证远程代码执行(RCE)漏洞,被形容为“邮件世界末日”。Firsov决定在负责任披露期结束之前发布技术细节,因为地下论坛已经出现了漏洞利用。这一决定旨在帮助维护者、蓝队和更广泛的安全社区进行防御。
在技术报告中,Firsov解释了该漏洞的根源在于缺乏对$_GET[‘_from’]参数的清理,导致PHP对象反序列化。虽然攻击者需要有效的登录凭证,但这一要求似乎并非阻碍,因为威胁行为者声称可以从日志中提取凭证,或者通过暴力破解获取。此外,凭证组合也可能通过跨站请求伪造(CSRF)获得。