محققان امنیت سایبری جزئیات یک نقص امنیتی بحرانی در نرم‌افزار وب‌میل Roundcube را فاش کرده‌اند که به مدت یک دهه مخفی مانده بود و می‌تواند برای تصاحب سیستم‌های آسیب‌پذیر و اجرای کد دلخواه مورد سوءاستفاده قرار گیرد.

این آسیب‌پذیری که با شناسه CVE-2025-49113 ردیابی می‌شود، امتیاز CVSS برابر با 9.9 از 10 را دارد. این نقص به عنوان یک مورد اجرای کد از راه دور پس از احراز هویت از طریق deserialization اشیاء PHP توصیف شده است.

طبق توضیحات موجود در پایگاه داده ملی آسیب‌پذیری‌ها (NVD)، نرم‌افزار Roundcube Webmail قبل از نسخه 1.5.10 و نسخه‌های 1.6.x قبل از 1.6.11 امکان اجرای کد از راه دور توسط کاربران احراز هویت شده را فراهم می‌کند. این مشکل به دلیل عدم اعتبارسنجی پارامتر _from در URL در فایل program/actions/settings/upload.php رخ می‌دهد که منجر به deserialization اشیاء PHP می‌شود.

این نقص که تمام نسخه‌های نرم‌افزار قبل و شامل نسخه 1.6.10 را تحت تأثیر قرار می‌دهد، در نسخه‌های 1.6.11 و 1.5.10 LTS برطرف شده است.

کیریل فیرسوف، بنیان‌گذار و مدیرعامل شرکت FearsOff، به عنوان کاشف و گزارش‌دهنده این آسیب‌پذیری شناخته شده است. این شرکت امنیت سایبری مستقر در دبی در یک اطلاعیه کوتاه اعلام کرد که قصد دارد جزئیات فنی بیشتر و یک اثبات مفهوم (PoC) را “به زودی” منتشر کند تا به کاربران زمان کافی برای اعمال وصله‌های ضروری داده شود.

آسیب‌پذیری‌های امنیتی که پیش از این در Roundcube کشف شده بودند، هدف پرسودی برای بازیگران تهدید دولتی مانند APT28 و Winter Vivern بوده‌اند. سال گذشته، شرکت Positive Technologies فاش کرد که هکرهای ناشناس تلاش کردند از یک نقص Roundcube با شناسه CVE-2024-37383 به عنوان بخشی از یک حمله فیشینگ برای سرقت اطلاعات کاربری استفاده کنند.

دو هفته پیش، ESET اعلام کرد که APT28 از آسیب‌پذیری‌های Cross-Site Scripting (XSS) در سرورهای وب‌میل مختلف مانند Roundcube، Horde، MDaemon و Zimbra برای جمع‌آوری داده‌های محرمانه از حساب‌های ایمیل خاص متعلق به نهادهای دولتی و شرکت‌های دفاعی در اروپای شرقی بهره‌برداری کرده است.