Roundcube Webmail 是一款開源的基于 Web 的多語言 IMAP 客戶端，提供類似桌面應用程序的用戶體驗。

微步情報局獲取到Roundcube Webmail存在反序列化漏洞情報(CVE-2025-49113，CNNVD-202506-019)。Roundcube Webmail在上傳文件時未對 URL 中的 _from 參數進行驗證，攻擊者通過構造惡意的 _from 參數觸發(fā)反序列化造成遠程代碼執(zhí)行。

該漏洞為后臺漏洞（需要登陸后利用） ，但由于技術細節(jié)已公開且影響范圍較大，建議受影響用戶盡快修復。

漏洞處置優(yōu)先級(VPT)

漏洞影響范圍

漏洞復現

修復方案

官方修復方案：

目前廠商已推出升級版本修復漏洞：

1.6.x升級至1.6.11及以上版本：

https://github.com/roundcube/roundcubemail/releases/tag/1.6.11

1.5.x升級至1.5.10及以上版本：

https://github.com/roundcube/roundcubemail/releases/tag/1.5.10

臨時緩解措施：

限制對program/actions/settings/upload.php 的訪問

微步產品側支持情況

微步威脅感知平臺TDP 已支持檢測，TDP檢測ID：S3100160460，模型/規(guī)則高于20250609000000可檢出。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數據與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/