CVE-2025-49113 для roundcube

https://www.cve.org/CVERecord?id=CVE-2025-49113

Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php, leading to PHP Object Deserialization.

Хорошо хоть, что только для authenticated users.

Классика жанра.

It has been described as a case of post-authenticated remote code execution via PHP object deserialization.

ты это хоть читал? твой роундкуб взломать смогут только авторизованные пользователи, которых создает только админ. 9.9 плавно превращается в 0.0. типичная мусорная «уязвимость». я не знаю кто такие высокие оценки этому дерьму, найденному нейронками, выставляет, но там в коммитете точно какие-то дегенераты засели

регистрант с лора никогда не админил ничего кроме локалхоста, а вот владельцы публичных сервисов напряглись

я понял, что ты ничего не админил. роундкубе - это сервак для копропротивной почты на 5 человек с закрытой регой, причем, мало распространенный

Нормальные публичные сервисы не создаются методом «скачать с инета и запустить». Так что скорее это всё-таки локалхосты + корпоративные почтовики у тех у кого почта - не основной род деятельности. А те, кто делают публичное методом «скачал и запустил», в любом случае смотрятся печально и получают проблемы не тут так в другом месте.

там возможности регистрации пользователей нет через веб-форму. пользователей только админ создает. там опасная уязвимость была только когда через аттач в письме можно было пользователя взломать.

Так пользователи не в roundcube должны быть а на smtp/pop3/imap бекэнде за ним. А для этого регистрацию можно и чем-то другим прикрутить. И вполне возможно всякие нубы, решившие открыть публичный почтовик, не умея программировать, так и делают иногда. Но в нормальных местах такого конечно не будет.

ну вот пример публичного сервиса - vfemail.net
Там roundcube и horde на выбор.