TexnoX-in baxışı (Deep Insight)
Önəmli Detallar
- CVE-2025-49113 üçün CVSS balı 9.9 olaraq göstərilir
- Təsirlənən versiyalar Roundcube Webmail 1.5.9-dan köhnə və 1.6.0-dan 1.6.10-a qədər olan buraxılışlardır
- Tövsiyə olunan yeniləmələr 1.5.10 və 1.6.11 versiyalarıdır
Ətraflı Məqalə
ABŞ və Kanadadakı universitetlərin poçt infrastrukturu Roundcube Webmail-də aşkar edilmiş kritik zəifliklərdən istifadə edən hücumların hədəfinə çevrilib. Məlumata görə, bu əməliyyatların arxasında UNK MassTraction adı ilə izlənən və Çinlə əlaqəli olduğu düşünülən qrup dayanır. Hücumlar əsasən e-poçt sistemləri üzərindən giriş əldə etməyə yönəlib və bu, ali təhsil müəssisələrinin ən həssas daxili kommunikasiya qatını risk altına qoyur.
Hədəfdə olan əsas boşluq CVE-2025-49113 kimi qeyd olunur və onun CVSS 3.1 reytinqi 9.9 təşkil edir. Problem Roundcube-da ‘from’ parametrinin kifayət qədər yoxlanılmaması ilə bağlıdır və bu, PHP obyektlərinin deseralizasiyası vasitəsilə uzaqdan kod icrasına yol aça bilir. Başqa sözlə, hücumçu təsdiqlənmiş istifadəçi sessiyasından istifadə edərək hesab nəzarətini ələ keçirə və daha sonra poçt qutularına, daxili yazışmalara və mümkün əlavə sistemlərə çıxış qazana bilər.
Bu məsələ xüsusilə universitetlər üçün önəmlidir, çünki onların e-poçt mühitləri təkcə kommunikasiya deyil, həm də giriş identifikasiyası və xidmətlərarası əlaqə üçün mərkəzi rol oynayır. Poçt serverinin komprometasiya olunması tədqiqat məlumatları, tələbə qeydləri və inzibati yazışmalar kimi həssas məlumatların riski artırır. Təhdidin miqyası göstərir ki, geniş istifadə olunan açıq mənbə proqram təminatında kritik boşluqlar təkcə bir qurumu deyil, oxşar konfiqurasiyalara malik bütöv sektorları eyni vaxtda zəif qoyur.
Bildirilən təsir sahəsi köhnə buraxılışları istifadə edən sistemlərlə məhdudlaşır, buna görə də yeniləmə strategiyası burada əsas müdafiə xəttidir. Roundcube Webmail 1.5.10 və 1.6.11 versiyalarına yüksəltmə tövsiyə olunur. Bu cür hadisələr müəssisələr üçün vendor asılılığı, patch idarəetməsi və multi-cloud mühitlərdə belə e-poçt kimi əsas xidmətlərin ayrıca sərtləşdirilməsinin vacibliyini yenidən ön plana çıxarır.