Kritiek RoundCube-lek maakt remote code execution op mailserver mogelijk

In dit artikel:

In RoundCube, een veelgebruikte opensource-webmailsoftware, is een ernstige beveiligingslek ontdekt dat remote code execution op mailservers mogelijk maakt. Deze kwetsbaarheid, gerapporteerd door cybersecuritybedrijf FearsOff, ontstaat doordat URL-parameters niet goed worden gevalideerd, wat leidt tot PHP Object Deserialization. Hierdoor kunnen aanvallers op afstand schadelijke code uitvoeren, mits ze zich kunnen authenticeren op de mailserver, bijvoorbeeld met gestolen inloggegevens. Hoewel authenticatie vereist is, is de ernst van het lek hoog ingeschat met een score van 9,9 op een schaal van 10 (CVE-2025-49113).

Vanwege het snelle misbruik van de kwetsbaarheid, waarbij exploits binnen 48 uur na openbaarmaking beschikbaar waren op ondergrondse markten, is besloten om technische details breed te delen zonder de proof-of-concept vrij te geven. Cybersecurityspecialist Kirill Firsov benadrukt het belang voor organisaties en beveiligingsteams om snel te handelen en te updaten naar RoundCube-versies 1.6.11 of 1.5.10 LTS. Dit is essentieel omdat RoundCube eerder al vaker slachtoffer was van aanvallen en nu opnieuw een kritieke dreiging vormt. De patch is inmiddels beschikbaar op GitHub, en direct installeren wordt dringend aanbevolen om schade te voorkomen.