一、 漏洞 CVE-2025-49113 基础信息

                                        # N/A

## 漏洞概述
Roundcube Webmail存在远程代码执行漏洞，该漏洞允许经过身份验证的用户通过不验证URL中的_from参数来触发PHP对象反序列化。

## 影响版本
- Roundcube Webmail 1.5.10之前的版本
- Roundcube Webmail 1.6.x系列1.6.11之前的版本

## 漏洞细节
- 问题出现在`program/actions/settings/upload.php`脚本中。
- 漏洞根源在于参数`_from`没有被适当验证，导致了PHP对象反序列化的危险情况。

## 影响
该漏洞允许经过身份验证的攻击者通过构造恶意的URL参数执行任意代码，可能导致服务器被完全控制。
                                        

二、漏洞 CVE-2025-49113 的公开POC

三、漏洞 CVE-2025-49113 的情报信息

• 标题： Roundcube ≤ 1.6.10 Post-Auth RCE via PHP Object Deserialization -- 🔗来源链接

  标签：

  神龙速读：

                                          ### 关键漏洞信息
  
  - **CVE编号**: CVE-2025-48745
  - **漏洞类型**: Post-Auth RCE via PHP Object Deserialization
  - **受影响软件**: Roundcube ≤ 1.6.10
  - **影响范围**: 
    - 影响版本: v1.1.0 至 v1.6.10
    - 存在时间: 10年
    - 影响主机数量: 超过5300万台
    - 受影响工具: cPanel, Plesk, ISPConfig, DirectAdmin等
  - **安全版本**: 
    - 1.6.11
    - 1.5.10 LTS
  - **发现者**: Kirill Firsov (FearsOff CEO)
  - **状态**: 细节和PoC即将发布，给受影响方时间进行必要修补/更新
  - **呼吁**: 帮助传播消息并关注更多细节
                                          

  

• 标题： Release Roundcube Webmail 1.5.10 · roundcube/roundcubemail · GitHub -- 🔗来源链接

  标签：

  神龙速读：

                                          从这个网页截图中可以获取到以下关于漏洞的关键信息：
  
  - **版本更新**：这是对Roundcube Webmail 1.5稳定版的安全更新，版本号为1.5.10。
  - **修复的漏洞**：
    - 修复了通过PHP对象反序列化导致的Post-Auth RCE（远程代码执行）漏洞，该漏洞由firs0v报告。
  
  ### Changelog
  - 修复了在managesieve_kolab_master模式下初始脚本创建后当前脚本状态的问题。
  - 修复了导致邮件预览中内联SVG图像缺失的回归问题（#9644）。
                                          

  

• 标题： Release Roundcube Webmail 1.6.11 · roundcube/roundcubemail · GitHub -- 🔗来源链接

  标签：

  神龙速读：

                                          从这个网页截图中可以获取到以下关于漏洞的关键信息：
  
  - **安全更新版本**：Roundcube Webmail 1.6.11 是一个针对稳定版本 1.6 的安全更新。
  - **修复的漏洞**：
    - **Post-Auth RCE via PHP Object Deserialization**：通过 PHP 对象反序列化导致的认证后远程代码执行漏洞，该漏洞由 firs0v 报告。
  
  这些信息表明 Roundcube Webmail 1.6.11 版本主要修复了一个严重的安全漏洞，建议所有使用 Roundcube 1.6.x 版本的用户尽快升级并备份数据。
                                          

  

• 标题： Validate URL parameter in upload code (#9866) · roundcube/roundcubemail@0376f69 · GitHub -- 🔗来源链接

  标签：

  神龙速读：

                                          从这个网页截图中，可以获取到以下关于漏洞的关键信息：
  
  - **提交信息**：
    - 提交ID：`0376f69`
    - 提交者：`pabzm`
    - 提交时间：昨天
    - 提交描述：`Validate URL parameter in upload code (#9868)`
  
  - **修复内容**：
    - 在`program/actions/settings/upload.php`文件中添加了URL参数验证逻辑，确保`_from`参数只包含允许的字符。
    - 在`program/lib/Roundcube/rcube_utils.php`文件中添加了一个新的静态方法`is_simple_string()`，用于检查输入是否为“简单”字符串（仅包含字母数字和下划线、点、破折号）。
    - 在`tests/Framework/Utils.php`文件中添加了测试用例，验证`is_simple_string()`方法的正确性。
  
  - **关键代码变更**：
    ```php
    // Validate URL input.
    if (!rcube_utils::is_simple_string($from)) {
        rcmail::write_log('errors', 'The URL parameter "_from" contains disallowed characters and the request is thus rejected.');
        $rcmail->output->command('display_message', 'Invalid input', 'error');
        $rcmail->output->send('iframe');
    }
    ```
  
  - **安全影响**：
    - 此次提交主要是为了防止潜在的URL参数注入或非法字符攻击，通过验证URL参数来增强系统的安全性。
  
  这些信息表明，该提交主要针对一个可能的安全漏洞进行了修复，通过增加输入验证来防止非法字符的注入。
                                          

  

• 标题： Validate URL parameter in upload code by pabzm · Pull Request #9865 · roundcube/roundcubemail · GitHub -- 🔗来源链接

  标签：

  神龙速读：

                                          从这个网页截图中可以获取到以下关于漏洞的关键信息：
  
  - **Pull Request标题**: Validate URL parameter in upload code #9865
  - **状态**: 已合并 (Merged)
  - **提交者**: alecpl
  - **合并时间**: 昨天
  - **关键评论**:
    - pabzm: "我们应该在使用URL参数之前改进验证。这是一个开始，引入了一个辅助方法来检查“简单”字符串。"
  - **代码文件**: program/lib/Roundcube/rcube_utils.php
  - **相关问题**: 成功合并此拉取请求可能会关闭这些问题。
  - **参与者**: pabzm 和 alecpl
  
  这些信息表明该Pull Request旨在修复或改进上传代码中URL参数的验证，以增强安全性。
                                          

  

• 标题： CVE-2025-49113 Roundcube Mitigation Script - vsociety -- 🔗来源链接

  标签：

  神龙速读：

                                          从这个网页截图中可以获取到以下关于漏洞的关键信息：
  
  - **CVE编号**: CVE-2025-49113
  - **漏洞严重性**: 9.9 Critical Severity
  - **漏洞描述**: Roundcube Webmail中的一个漏洞，允许通过PHP反序列化执行远程代码。
  - **缓解措施**: 提供了一个脚本（CVE-2025-49113 Roundcube Mitigation Script），通过限制对易受攻击的文件upload.php的访问来缓解该漏洞。对于Apache，它在.htaccess文件中添加一个<Files>指令；对于Nginx，它创建一个配置片段并指示用户手动包含它。
  - **使用方法**:
    1. 使脚本可执行：`chmod +x mitigation.sh`
    2. 运行脚本：`./mitigation.sh`
    3. 如果Roundcube安装在自定义位置，设置环境变量：`ROUND_CUBE_PATH="/custom/path/to/roundcube" ./mitigation.sh`
  
  这些信息可以帮助管理员快速理解和应用缓解措施，以防止漏洞被利用。
                                          

  

• 标题： Security updates 1.6.11 and 1.5.10 released -- 🔗来源链接

  标签：

  神龙速读：

                                          ### 关键信息
  
  - **发布日期**: 2025年6月1日
  - **版本**: 1.6.11 和 1.5.10
  - **漏洞类型**: Post-Auth RCE via PHP Object Deserialization
  - **报告者**: firs0v
  - **影响范围**: Roundcube Webmail 的 1.6 和 1.5 LTS 版本
  - **修复建议**: 强烈建议所有生产环境的 Roundcube 1.6.x 和 1.5.x 版本更新到新版本
  - **详细变更记录**: 可在 GitHub 下载页面的发布说明中查看完整变更日志
  
  ### 相关帖子
  - Update 1.6.10 released
  - Updates 1.6.9 and 1.5.9 released
  - Official enterprise support now available
  - Security updates 1.6.8 and 1.5.8 released
  - Security updates 1.6.7 and 1.5.7 released
                                          

  

• 标题： Validate URL parameter in upload code (#9866) · roundcube/roundcubemail@7408f31 · GitHub -- 🔗来源链接

  标签：

  神龙速读：

                                          从这个网页截图中，可以获取到以下关于漏洞的关键信息：
  
  - **漏洞类型**：URL参数验证问题。
  - **修复措施**：
    - 在`upload.php`文件中添加了对`from`参数的验证逻辑，确保其值为简单字符串（仅包含字母、数字和下划线）。
    - 如果`from`参数包含不允许的字符，则记录错误日志并返回无效输入的错误消息。
  - **相关代码变更**：
    ```markdown
    - 在`program/actions/settings/upload.php`文件中添加了以下代码：
      ```php
      $from = rcube_utils::get_input_value('_from', rcube_utils::INPUT_GET);
      $type = preg_replace('/\W/', '', $from);
  
      if (!rcube_utils::is_simple_string($type)) {
          rcmail::write_log('errors', 'The URL parameter _from contains disallowed characters and the request is thus rejected.');
          $rcmail->output->command('display_message', 'Invalid input', 'error');
          $rcmail->output->send('iframe');
      }
      ```
  
    - 在`program/Lib/Roundcube/rcube_utils.php`文件中添加了`is_simple_string`函数，用于检查输入是否为简单字符串：
      ```php
      public static function is_simple_string($input)
      {
          return is_string($input) && !preg_match('/[\W_]/', $input);
      }
      ```
  
    - 在`tests/Framework/Utils.php`文件中添加了测试用例，确保`is_simple_string`函数的正确性。
    ```
  - **影响范围**：此修复主要影响`upload.php`文件中的上传功能，确保URL参数的安全性。
  
  这些变更表明开发团队意识到了潜在的安全风险，并采取了相应的措施来防止恶意输入导致的安全问题。
                                          

  

• 标题： Use get_input_string() · roundcube/roundcubemail@c50a07d · GitHub -- 🔗来源链接

  标签：

  神龙速读：

                                          从这个网页截图中可以获取到以下关于漏洞的关键信息：
  
  - **提交ID**: c50a07d
  - **提交者**: alecpl
  - **提交时间**: 昨天
  - **提交描述**: 使用 `get_input_string()` 函数
  
  关键代码更改如下：
  
  ```diff
  @@ -29,7 +29,7 @@ class rcmail_action_settings_upload extends rcmail_action
   30  30  {
   31  31      $rcmail = rcmail::get_instance();
  -32  32      $from = rcube_utils::get_input_value('_from', rcube_utils::INPUT_GET);
  +32  32      $from = rcube_utils::get_input_string('_from', rcube_utils::INPUT_GET);
   33  33      $type = preg_replace('/(add|edit)-/', '', $from);
   34  34  
   35  35      // Validate URL input.
  @@ -51,7 +51,7 @@ public function run($args = [])
   52  52  
   53  53      $max_size = $rcmail->config->get($type . '_image_size', 64) * 1024;
  -54  54      $uploadid = rcube_utils::get_input_value('_uploadid', rcube_utils::INPUT_GET);
  +54  54      $uploadid = rcube_utils::get_input_string('_uploadid', rcube_utils::INPUT_GET);
   55  55  
   56  56      if (!empty($_FILES['_file']['tmp_name']) && is_array($_FILES['_file']['tmp_name'])) {
   57  57          $multiple = count($_FILES['_file']['tmp_name']) > 1;
  ```
  
  **关键信息总结**:
  - 该提交修复了在处理输入数据时使用 `get_input_value` 的潜在安全问题，改为使用 `get_input_string`。
  - 这可能与防止注入攻击或数据验证相关，确保输入数据的安全性和有效性。
                                          

  

• 标题： CVE-2025-49113 Roundcube Vulnerability Detection - vsociety -- 🔗来源链接

  标签：

  神龙速读：

                                          ### 关键信息
  
  - **漏洞编号**: CVE-2025-49113
  - **漏洞类型**: Roundcube 漏洞检测与缓解
  - **严重性**: CVSS 9.9 (Critical)
  - **描述**: 
    - 此脚本检测 Roundcube 是否易受 CVE-2025-49113 的影响。
    - 脚本检查以下内容：
      - Roundcube 安装
      - 版本号
      - 是否存在易受攻击的文件 upload.php
      - 访问该文件是否受限（通过 .htaccess）
  - **执行步骤**:
    1. 使脚本可执行: `chmod +x detection.sh`
    2. 运行脚本: `./detection.sh`
    3. 如果 Roundcube 安装在自定义路径: `ROUND_CUBE_PATH="/custom/path/to/roundcube" ./detection.sh`
  
  - **相关标签**: #security, #x_detection
  - **发布者**: @morten
  - **发布日期**: 2025 年 6 月 11 日
                                          

  
• https://nvd.nist.gov/vuln/detail/CVE-2025-49113

四、漏洞 CVE-2025-49113 的评论