CVE-2025-49113 — 神龙十问 AI 深度分析摘要
CVSS 9.9 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:PHP对象反序列化漏洞。Roundcube在处理URL参数 `_from` 时未做验证,导致恶意数据被反序列化。后果:攻击者可实现 **远程代码执行 (RCE)**,彻底接管服务器。
Q2根本原因?(CWE/缺陷点)
🔍 **根本原因**:**CWE-502** (不安全的反序列化)。缺陷点位于 `/program/actions/settings/upload.php` 文件,关键参数 `_from` 缺乏严格校验,直接传入反序列化逻辑。
Q3影响谁?(版本/组件)
📦 **受影响版本**: - Roundcube Webmail **< 1.5.10** - Roundcube Webmail **< 1.6.11** ⚠️ 注意:1.6.10 及以下版本均高危。
Q4黑客能干啥?(权限/数据)
💀 **黑客能力**: - **权限**:获取服务器最高权限(RCE)。 - **数据**:窃取邮件、通讯录、服务器敏感配置。 - **影响**:横向移动,控制整个邮件基础设施。
Q5利用门槛高吗?(认证/配置)
🔑 **利用门槛**:**中等**。需要 **已认证用户** 身份(Post-Auth)。虽然需要登录,但CVSS评分高达 **10.0**,因为一旦登录即可直接RCE,无需额外UI交互。
Q6有现成Exp吗?(PoC/在野利用)
💣 **Exp现状**:**有现成PoC**。 - GitHub上有多个检测模板(Nuclei)。 - 存在专门的Exploit仓库(如 `rasool13x/exploit-CVE-2025-49113`)。 - 已被 CERT Polska 工具 Artemis 收录。
Q7怎么自查?(特征/扫描)
🛡️ **自查方法**: 1. 检查 Roundcube 版本是否 < 1.5.10 或 < 1.6.11。 2. 扫描 HTML 响应中的 `rcversion` 字段。 3. 使用 Nuclei 模板 `CVE-2025-49113.yaml` 进行自动化检测。
Q8官方修了吗?(补丁/缓解)
✅ **官方修复**:**已修复**。 - 升级至 **1.5.10 LTS** 或 **1.6.11** 及以上版本。 - 官方已发布补丁并提交PR #9865。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: - 若无法立即升级,限制对 `/program/actions/settings/upload.php` 的访问。 - 严格实施 **MFA(多因素认证)**,防止未授权用户登录利用。 - 监控异常的反序列化请求日志。
Q10急不急?(优先级建议)
🔥 **优先级**:**极高 (Critical)**。 - CVSS 10.0 满分。 - 漏洞存在超10年,隐蔽性强。 - **建议**:立即升级版本,这是邮件系统的核心组件,风险不可控。