Origine : bjCSIRT
Numéro : 2025/ALERTE/045
Date de l’alerte : 05/06/2025
APERÇU :
Une vulnérabilité liée à la gestion inadéquate des données sérialisées dans Roundcube, permettrait à un acteur malveillant d’exécuter du code à distance sur les systèmes affectés.
DESCRIPTION :
Roundcube est une application web open source qui permet aux utilisateurs d’accéder à leur messagerie électronique et de la gérer via un navigateur web.
Cette application présente une vulnérabilité libellée CVE-2025-49113. Elle résulte d’une gestion inadéquate des données sérialisées, en particulier d’une validation insuffisante des entrées du paramètre _from dans le fichier program/actions/settings/upload.php. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant d’injecter un objet malicieux et d’exécuter du code sur le serveur ciblé.
Cette vulnérabilité est classée Critique avec un score de sévérité de 9.9 selon le CVSS:3.1.
IMPACT :
- Atteinte à confidentialité des données ;
- Atteinte à l’intégrité des données;
- Atteinte à disponibilité des données ;
- Exécution de code arbitraire.
SYSTÈMES AFFECTÉS :
- Les versions de Roundcube inférieures à 1.5.10 ;
- Les versions 1.6.x de Roundcube antérieures à 1.6.11.
MESURES À PRENDRE :
- Mettre à jour Roundcube Webmail vers la version la plus récente.
RÉFÉRENCES :
