Redazione RHC : 16 Giugno 2025 07:12
I ricercatori stimano che oltre 84.000 installazioni di Roundcube Webmail siano vulnerabili al problema critico CVE-2025-49113, per il quale è già disponibile un exploit pubblico. Questa vulnerabilità è presente nel codice di Roundcube Webmail da oltre un decennio e riguarda le versioni dalla 1.1.0 alla 1.6.10. Una correzione per questo bug è stata rilasciata il 1° giugno 2025.
Il CVE-2025-49113 è una vulnerabilità di esecuzione di codice remoto (RCE) che ha ottenuto un punteggio di 9,9 su 10 sulla scala CVSS. Il bug è stato scoperto dal responsabile di FearsOff, Kirill Firsov, che ha deciso di divulgare i dettagli tecnici del problema all’inizio di giugno, poiché l’exploit era già apparso online.
La vulnerabilità è dovuta alla mancanza di un’adeguata sanificazione del parametro $_GET[‘_from’], che porta alla deserializzazione dell’oggetto PHP. Nel suo rapporto tecnico, Firsov ha spiegato che se il nome di una variabile di sessione inizia con un punto esclamativo, la sessione viene interrotta e si apre la possibilità di un’iniezione di oggetti.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] ![]() Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Come abbiamo scritto in precedenza, poco dopo il rilascio della patch, gli hacker l’hanno usata per creare un exploit, che hanno iniziato a vendere su forum underground. Sebbene l’autenticazione sia richiesta per sfruttare CVE-2025-49113, gli aggressori hanno scritto che le credenziali possono essere estratte dai log o sottoposte a forza bruta. A sua volta, Firsov ha osservato che è possibile ottenere una combinazione di credenziali anche utilizzando CSRF.
Roundcube è una delle soluzioni di webmail più popolari, offerta da noti provider di hosting (GoDaddy, Hostinger, Dreamhost e OVH), è inclusa nei pannelli di controllo (cPanel, Plesk) e utilizzata da numerose organizzazioni nei settori governativo, accademico e tecnologico.
Come ha recentemente segnalato la Shadowserver Foundation, sono state trovate online oltre 1.200.000 installazioni di Roundcube Webmail e, all’8 giugno 2025, 84.925 di queste sono ancora vulnerabili a CVE-2025-49113.
La maggior parte delle installazioni vulnerabili si trova negli Stati Uniti (19.500), in India (15.500), in Germania (13.600), in Francia (3.600), in Canada (3.500) e nel Regno Unito (2.400).
Gli esperti raccomandano agli amministratori di installare gli aggiornamenti alle versioni 1.6.11 e 1.5.10 il prima possibile, poiché la vulnerabilità è già stata risolta.
Pochi giorni fa, il CERT Polonia ha segnalato che gli aggressori del gruppo UNC1151 stavano già sfruttando la vulnerabilità in una campagna di phishing volta a rubare le credenziali.
Se per qualche motivo non è possibile effettuare l’aggiornamento, consigliamo di limitare l’accesso alla webmail, disabilitare il download dei file, aggiungere la protezione CSRF, bloccare le funzioni PHP potenzialmente pericolose e monitorare eventuali segnali di sfruttamento.
Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...
La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...
Per decenni, l’informatica è stata considerata una scelta professionale stabile e ricca di opportunità. Oggi, però, studenti, università e imprese si trovano davanti a un panorama radicalmente m...
Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...
Una nuova campagna malevola sta utilizzando Facebook come veicolo per diffondere Datzbro, un malware Android che combina le caratteristiche di un trojan bancario con quelle di uno spyware. L’allarme...