Roundcube Webmail 反序列化漏洞(CVE-2025-49113)预警
1、基本情况
Roundcube Webmail 是一款开源的基于 Web 的多语言 IMAP 客户端,提供类似桌面应用程序的用户体验。
近日,监测发现 Roundcube 官方发布安全公告,修复了 Roundcube Webmail 反序列化漏洞(CVE-2025-49113),该漏洞是 Roundcube Webmail 的自定义反序列化函数在处理包含特定分隔符时存在逻辑错误,允许认证攻击者通过构造恶意文件名触发反序列化,最终实现远程命令执行从而完全接管服务器。
建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2、影响范围
受影响版本
⚫ Roundcube Webmail <1.5.10
⚫ Roundcube Webmail <1.6.11
3、处置建议
目前这些漏洞已经修复,受影响用户可安装最新版本补丁。
下载地址:https://github.com/roundcube/roundcubemail/releases/tag/1.6.11
https://github.com/roundcube/roundcubemail/releases/tag/1.5.10
4、参考链接
1) https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10