聲明：該文章來自（微步情報局）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

Roundcube Webmail 是一款開源的基于 Web 的多語言 IMAP 客戶端，提供類似桌面應(yīng)用程序的用戶體驗(yàn)。

微步情報局獲取到Roundcube Webmail存在反序列化漏洞情報(CVE-2025-49113，CNNVD-202506-019)。Roundcube Webmail在上傳文件時未對 URL 中的 _from 參數(shù)進(jìn)行驗(yàn)證，攻擊者通過構(gòu)造惡意的 _from 參數(shù)觸發(fā)反序列化造成遠(yuǎn)程代碼執(zhí)行。

該漏洞為后臺漏洞（需要登陸后利用） ，但由于技術(shù)細(xì)節(jié)已公開且影響范圍較大，建議受影響用戶盡快修復(fù)。

漏洞處置優(yōu)先級(VPT)

漏洞影響范圍

漏洞復(fù)現(xiàn)

修復(fù)方案

官方修復(fù)方案：

目前廠商已推出升級版本修復(fù)漏洞：

1.6.x升級至1.6.11及以上版本：

https://github.com/roundcube/roundcubemail/releases/tag/1.6.11

1.5.x升級至1.5.10及以上版本：

https://github.com/roundcube/roundcubemail/releases/tag/1.5.10

臨時緩解措施：

限制對program/actions/settings/upload.php 的訪問

微步產(chǎn)品側(cè)支持情況

微步威脅感知平臺TDP 已支持檢測，TDP檢測ID：S3100160460，模型/規(guī)則高于20250609000000可檢出。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/