Peste 700 de instalări ale aplicației Roundcube pentru webmail din România sunt vulnerabile la o problemă de securitate critică ce poate fi exploatată foarte ușor.
Vulnerabilitatea a primit identificatorul CVE-2025-49113, iar un atacator o poate utiliza pentru a executa cod arbitrar de la distanță, pentru a accesa sau folosi conturile de email ale oricărui utilizator.
Deși mai puțin cunoscută utilizatorilor, aplicația Roundcube este una dintre cele mai răspândite soluții de webmail (accesarea emailurilor direct din browser), fiind pusă la dispoziție de un număr mare de furnizori de servicii de hosting, organizații din mediul guvernamental, educațional, cât și privat.
Popularitatea proiectului Roundcube se datorează în aceeași măsură faptului că este open source și complet gratuit, dar și multiplelor opțiuni de personalizare.
Organizația non-profit The Shadowserver Foundation a scanat internetul public și a găsit 84.925 de instanțe Roundcube afectate de vulnerabilitatea CVE-2025-49113.
Dintre acestea, 708 se află în România. Cele mai multe aplicații Roundcube vulnerabile se află în Statele Unite (19.500), urmate de India (15.500).
În Europa, cele mai multe se găsesc în Germania (13.600), Franța (3.600) și Marea Britanie (2.400).
Vulnerabilitate veche de 10 ani
Problema de securitate CVE-2025-49113 a primit un scor de severitate de 9,9 din 10 și a fost descoperită de către Kirill Firsov, CEO-ul companiei de servicii de securitate cibernetică FearsOff.
Versiunile aplicației Roundcube de la 1.1.0 până la 1.6.10 sunt toate afectate, un indiciu despre longevitatea vulnerabilității care a fost introdusă în codul produsului acum 10 ani.
Detaliile tehnice sunt deja publice, împreună cu un video în care Firsov demonstrează că vulnerabilitatea poate fi exploatată.
Cel puțin un actor cibernetic rău intenționat a anunțat că are un exploit valid pentru CVE-2025-49113 pe care dorește să îl vândă.
Deși este o problemă critică de securitate, exploatarea vulnerabilității necesită autentificare, ceea ce în mod obișnuit ar scădea nivelul de severitate. În acest caz însă, obținerea credențialelor de autentificare nu reprezintă un obstacol.
Firsov spune că o metodă prin care acestea pot fi obținute este cross-site request forgery (CSRF), prin care sesiunea unui utilizator autentificat în Roundcube (session cookies) poate fi furată atunci când victima accesează un site al unui atacator.
Alte variante prin care pot fi obținute credențialele ar fi extragerea lor din loguri sau prin atacuri brute-force, prin care se încearcă succesiv o multitudine de combinații de nume de utilizatori și parole până la găsirea variantei corecte.
Vulnerabilitatea este reparată în cea mai recentă versiune a aplicației Roundcube (momentan 1.6.11, lansată pe 1 iunie).
