Roundcube-sähköpostiohjelmistossa on havaittu kriittinen haavoittuvuus (CVE-2025-49113), joka mahdollistaa etäkäyttöisen koodin suorituksen palvelimella. Haavoittuvuus koskee yli 84 000 tunnetusti avoinna olevaa instanssia, ja hyökkäyksiä on jo havaittu käytännössä.
Mistä haavoittuvuudessa on kyse?
Haavoittuvuus liittyy PHP-koodin serialisointiin ja istuntotietojen käsittelyyn, erityisesti $_GET[’_from’] -muuttujaan. Jos hyökkääjä saa käyttöönsä tunnukset (esim. CSRF:n, brute-forcen tai lokien kautta), hän voi käyttää tätä aukkoa suorittaakseen omia komentojaan palvelimella.
Haavoittuvat versiot: Roundcube 1.1.0 – 1.6.10 (yli 10 vuoden ajalta)
Korjaus julkaistiin 1.6.11- ja 1.5.10-versioissa 1.6.2025.
Exploit-koodi julkaistiin pian korjauksen jälkeen, ja sitä on jo myyty hakkerifoorumeilla.
Kuinka laaja riski on kyseessä?
Roundcube on erittäin suosittu erityisesti webhotellipalveluissa ja organisaatioiden sähköpostijärjestelmissä (esim. GoDaddy, Hostinger, OVH sekä julkishallinto ja oppilaitokset).
The Shadowserver Foundation: 84 925 haavoittuvaa instanssia internetissä 8.6.2025.
Eniten altistuneita Yhdysvalloissa (19 500), Intiassa (15 500), Saksassa (13 600), Ranskassa, Kanadassa ja Britanniassa.
Heatmap of exposure to CVE-2025-49113
Source: The Shadowserver Foundation
Miten suojaudut?
Järjestelmänvalvojille suositellaan välitöntä päivitystä:
Päivitä Roundcube vähintään versioon 1.6.11 tai 1.5.10.
Jos päivitys ei ole mahdollista:
Rajoita pääsyä webmailiin (esim. IP-rajaukset, VPN).
Kytke tiedostojen lähetys pois päältä.
Ota CSRF-suojaus käyttöön.
Estä vaaralliset PHP-funktiot.
Seuraa lokimerkintöjä ja mahdollisia hyökkäysyrityksiä.
Miksi päivitys on kiireellinen?
Koska haavoittuvuuteen liittyvä exploit on julkisesti saatavilla ja hyökkäykset ovat mahdollisia vaikka ne vaativat kirjautumistiedot, riskitaso on korkea erityisesti jaetuissa palvelinympäristöissä. Tietomurtojen ja tietovuotojen riski on merkittävä – erityisesti, jos käytössä on suojaamattomia tilejä.
