Peretas cenderung mulai mengeksploitasi CVE-2025-49113, kerentanan kritis dalam aplikasi webmail open-source RoundCube yang banyak digunakan yang memungkinkan eksekusi jarak jauh.
Masalah keamanan telah hadir di Roundcube selama lebih dari satu dekade dan memengaruhi versi Webmail RoundCube 1.1.0 hingga 1.6.10. Itu menerima tambalan pada tanggal 1 Juni.
Butuh penyerang hanya beberapa hari untuk membalikkan merekayasa perbaikan, mempersenjatai kerentanan, dan mulai menjual eksploitasi kerja di setidaknya satu forum peretas.
Roundcube adalah salah satu solusi webmail paling populer karena produk ini termasuk dalam penawaran dari penyedia hosting terkenal seperti GoDaddy, Hostinger, DreamHost, atau OVH.
“Email Armageddon”
CVE-2025-49113 adalah kerentanan Eksekusi Kode Jarak Jauh pasca-otentikasi (RCE) yang menerima skor keparahan kritis 9,9 dari 10 dan digambarkan sebagai “Email Armageddon.”
Ditemukan dan dilaporkan oleh Kirill Firsov, CEO Cybersecurity Company Ketakutanyang memutuskan untuk mempublikasikan detail teknis sebelum akhir periode pengungkapan yang bertanggung jawab karena eksploitasi telah tersedia.
“Mengingat eksploitasi aktif dan bukti eksploitasi yang dijual di forum bawah tanah, saya percaya itu adalah kepentingan terbaik para pembela, tim biru, dan komunitas keamanan yang lebih luas untuk menerbitkan rincian teknis penuh tetapi tanpa POC lengkap untuk saat ini” – – – Kirill Firsov
Pada akar masalah keamanan adalah kurangnya sanitasi $ _Get[‘_from’] parameter, yang mengarah ke deserialisasi objek PHP.
Dalam laporan teknis, Firsov menjelaskan bahwa ketika tanda seru memulai nama variabel sesi, sesi menjadi rusak dan injeksi objek menjadi mungkin.
Setelah Roundcube menerima tambalan, penyerang menganalisis modifikasi yang diperkenalkan, mengembangkan eksploitasi, dan mengiklankannya di forum peretas, mencatat bahwa login yang berfungsi diperlukan.
Namun, kebutuhan akan kredensial login tampaknya tidak seperti pencegah, karena aktor ancaman yang menawarkan eksploitasi mengatakan bahwa mereka dapat mengekstraknya dari log, atau bisa dipaksakan secara brute.
Firsov mengatakan bahwa kombinasi kredensial juga dapat diperoleh melalui Cross-Site Request Fornery (CSRF).
sumber: Kirill Firsov
Menurut Firsov, setidaknya satu broker kerentanan Membayar hingga $ 50.000 untuk eksploitasi RCE di Roundcube.
Peneliti menerbitkan video untuk menunjukkan bagaimana kerentanan dapat dieksploitasi. Perlu dicatat bahwa peneliti menggunakan pengidentifikasi kerentanan CVE-2025-48745 dalam demonstrasi, yang saat ini ditolak sebagai a Duplikat kandidat untuk CVE-2025-49113.
Meskipun merupakan aplikasi yang kurang dikenal di antara konsumen, RoundCube sangat populer, terutama karena sangat dapat disesuaikan dengan lebih dari 200 opsi, dan tersedia secara bebas.
Selain ditawarkan oleh penyedia hosting dan dibundel di panel kontrol hosting web (CPANEL, Plesk), banyak organisasi di sektor pemerintah, akademik, dan teknologi menggunakan RoundCube.
Firsov juga mengatakan bahwa aplikasi webmail ini memiliki kehadiran yang sangat luas sehingga pentester lebih cenderung menemukan instance RoundCube daripada salah konfigurasi SSL.
Mempertimbangkan di mana -mana aplikasi, peneliti mengatakan bahwa “permukaan serangan tidak besar – industri ini.”
Memang, tampilan cepat pada mesin pencari untuk menemukan perangkat dan layanan yang terhubung dengan internet menunjukkan setidaknya 1,2 juta host RoundCube.
Mengapa timnya membuang manajemen tambalan manual
Penambalan manual sudah ketinggalan zaman. Ini lambat, rawan kesalahan, dan sulit untuk dikurangi.
Bergabunglah dengan Kandji + Tines pada 4 Juni untuk melihat mengapa metode lama gagal. Lihat contoh dunia nyata tentang bagaimana tim modern menggunakan otomatisasi untuk menambal lebih cepat, memotong risiko, tetap patuh, dan melewatkan skrip yang kompleks.
