◆概要
2025 年 6 月に、Roundcube にて遠隔からの任意のコード実行が可能となる脆弱性を悪用するエクスプロイトコードが公開されています。攻撃者は脆弱性を悪用して、脆弱な Roundcube が稼働しているサーバへの侵入が可能となります。ソフトウェアの更新により対策してください。
◆分析者コメント
利用に認証が必要な種類の Web アプリケーション型のソフトウェアであり、本記事で題材としている脆弱性は認証後の画面で悪用できるものです。エクスプロイトコード自体の複雑性は低く、攻撃者が組織内ネットワークに侵入するために悪用する可能性が高い脆弱性です。認証情報の強化により脆弱性が悪用されてしまう可能性を軽減できますが、ソフトウェアの更新による対策を推奨します。
◆深刻度(CVSS)
[CVSS v3.1]
9.9
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2025-49113&vector=AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H&version=3.1&source=MITRE
◆影響を受けるソフトウェア
以下のバージョンの Roundcube が当該脆弱性の影響を受けると報告されています。
* 1.5.x 系 - 1.5.10 未満
* 1.6.x 系 - 1.6.11 未満
◆解説
メール閲覧用の Web アプリケーションとして利用されている Roundcube に、遠隔からの任意のコード実行が可能となる脆弱性が報告されています。
脆弱性は、利用者からアップロードされたファイル処理の不備に起因します。脆弱な Roundcube では、アップロードされたファイル名をセッション情報として保存しますが、入力されたファイル名を検証せずにデシリアライズを処理するため、任意のシリアライズデータを注入できます。攻撃者は OS コマンドを混入したシリアライズデータをファイル名として指定した状態でファイルをアップロードし、デシリアライズ処理を誘発することで、脆弱な Roundcube が稼働しているサーバに対して遠隔からの任意のコード実行が可能です。
◆対策
Roundcube のバージョンを以下のものにアップデートしてください。
* 1.5.x 系 - 1.5.10 またはそれよりも新しいバージョン
* 1.6.x 系 - 1.6.11 またはそれよりも新しいバージョン
◆関連情報
[1] Roundcube 公式
https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
[2] Openwall
https://www.openwall.com/lists/oss-security/2025/06/02/3
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-49113
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-49113
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して対象ホストに任意のコード実行の強制を試みるエクスプロイトコードが公開されています。
GitHub - fearsoff-org/CVE-2025-49113
https://github.com/fearsoff-org/CVE-2025-49113/blob/main/CVE-2025-49113.php
//-- で始まる行は執筆者によるコメントです。
2025 年 6 月に、Roundcube にて遠隔からの任意のコード実行が可能となる脆弱性を悪用するエクスプロイトコードが公開されています。攻撃者は脆弱性を悪用して、脆弱な Roundcube が稼働しているサーバへの侵入が可能となります。ソフトウェアの更新により対策してください。
◆分析者コメント
利用に認証が必要な種類の Web アプリケーション型のソフトウェアであり、本記事で題材としている脆弱性は認証後の画面で悪用できるものです。エクスプロイトコード自体の複雑性は低く、攻撃者が組織内ネットワークに侵入するために悪用する可能性が高い脆弱性です。認証情報の強化により脆弱性が悪用されてしまう可能性を軽減できますが、ソフトウェアの更新による対策を推奨します。
◆深刻度(CVSS)
[CVSS v3.1]
9.9
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2025-49113&vector=AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H&version=3.1&source=MITRE
◆影響を受けるソフトウェア
以下のバージョンの Roundcube が当該脆弱性の影響を受けると報告されています。
* 1.5.x 系 - 1.5.10 未満
* 1.6.x 系 - 1.6.11 未満
◆解説
メール閲覧用の Web アプリケーションとして利用されている Roundcube に、遠隔からの任意のコード実行が可能となる脆弱性が報告されています。
脆弱性は、利用者からアップロードされたファイル処理の不備に起因します。脆弱な Roundcube では、アップロードされたファイル名をセッション情報として保存しますが、入力されたファイル名を検証せずにデシリアライズを処理するため、任意のシリアライズデータを注入できます。攻撃者は OS コマンドを混入したシリアライズデータをファイル名として指定した状態でファイルをアップロードし、デシリアライズ処理を誘発することで、脆弱な Roundcube が稼働しているサーバに対して遠隔からの任意のコード実行が可能です。
◆対策
Roundcube のバージョンを以下のものにアップデートしてください。
* 1.5.x 系 - 1.5.10 またはそれよりも新しいバージョン
* 1.6.x 系 - 1.6.11 またはそれよりも新しいバージョン
◆関連情報
[1] Roundcube 公式
https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
[2] Openwall
https://www.openwall.com/lists/oss-security/2025/06/02/3
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-49113
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-49113
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して対象ホストに任意のコード実行の強制を試みるエクスプロイトコードが公開されています。
GitHub - fearsoff-org/CVE-2025-49113
https://github.com/fearsoff-org/CVE-2025-49113/blob/main/CVE-2025-49113.php
//-- で始まる行は執筆者によるコメントです。
