Avoimen lähdekoodin Roundcube-sähköpostijärjestelmässä on havaittu kriittinen haavoittuvuus (CVE-2025-49113), jonka avulla hyökkääjä voi suorittaa koodia etänä kirjautumisen jälkeen. Haavoittuvuus koskee kaikkia versioita 1.1.0–1.6.10, ja sille on annettu lähes maksimiarvo (9.9/10) kriittisyysluokituksessa.
Haavoittuvuus johtuu syötteen puutteellisesta suodatuksesta $_GET[’_from’] -parametrissa, jonka kautta on mahdollista toteuttaa PHP-objektin injektointi. Jos hyökkääjä onnistuu saamaan kirjautumistiedot (esim. lokien kautta, brute force -hyökkäyksellä tai CSRF:llä), hän voi suorittaa mielivaltaista koodia palvelimella.
Vain pari päivää korjauspäivityksen jälkeen haavoittuvuuden hyväksikäyttöön tarkoitettu exploit-koodi ilmestyi pimeän verkon hakkerifoorumeille. Exploitista ollaan valmiita maksamaan jopa 50 000 dollaria, ja hyökkäykset ovat jo alkaneet.
Roundcube on erittäin laajassa käytössä hosting-palveluissa, yrityksissä ja oppilaitoksissa. Suomessa ja muualla Euroopassa se kuuluu monien hosting-pakettien vakio-ohjelmistoihin, joten haavoittuvuus koskettaa laajaa käyttäjäjoukkoa.
Toimi heti:
Kaikkien Roundcube-palvelimia ylläpitävien tulee päivittää järjestelmä vähintään versioon 1.6.11. Myös ylläpitotunnusten vaihto ja lokien tarkkailu on suositeltavaa.
https://nvd.nist.gov/vuln/detail/CVE-2025-49113
