Webadmins sollten ihre Roundcube-Webmail-Instanzen zeitnah auf den aktuellen Stand bringen. In aktuellen Ausgaben haben die Entwickler eine Sicherheitslücke geschlossen, über die Schadcode auf Systeme gelangen kann.
Wie aus einem Beitrag hervorgeht, haben sie die "kritische" Sicherheitslücke (CVE-2025-49113) in den Ausgaben 1.5.10 und 1.6.11 geschlossen. Alle vorigen Versionen sollen verwundbar sein.
Trotz der kritischen Einstufung müssen Angreifer authentifiziert sein, um an der Schwachstelle ansetzen zu können. Weil der from-Parameter in URLs unter program/actions/settings/upload.php nicht ausreichend überprüft wird, können Angreifer eigenen Code ausführen. Es ist davon auszugehen, dass Instanzen nach einer erfolgreichen Attacken vollständig kompromittiert sind.
Auch wenn es noch keine Hinweise auf laufende Attacken gibt, sollten Admins nicht zu lange zögern und das Sicherheitsupdate zeitnah installieren. Dazu raten auch die Entwickler. Den Entdeckern der Schwachstelle von FearsOff zufolge existiert sie seit zehn Jahren und betrifft über 53 Millionen Hosts.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo