Kritisk sårbarhet i Roundcube

Roundcube informerar om en sårbarhet (CVE-2025-49113) i Roundcube webmail. [1]

Bristen möjlliggör för en angripare att fjärrköra godtycklig kod (RCE) i ett sårbart system. Ett lyckat angrepp kräver autentisering. [2] Sårbarheten har av MITRE getts en klassning 9.9 enligt CVSS 3.1. [1]

Det finns för närvarande inga uppgifter om proof-of-concept eller att sårbarheten utnyttjas aktivt.

Uppdatering 2025-06-11

Indikationer finns på att en exploit för att utnyttja sårbarheten finns till försäljning, samt att en PoC publicerats.

Påverkade produkter

• Roundcube Webmail 1.6.x, före version 1.6.11
• Roundcube Webmail 1.5.x, före version 1.5.10

[3]

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara instanser i enlighet med tillverkarens rekommendationer.

Källor

[1] https://nvd.nist.gov/vuln/detail/CVE-2025-49113

[2] https://feedly.com/cve/CVE-2025-49113

[3] https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10