Trusted DesignCVE-2025-49113 の詳細
CVEの情報
説明:
Roundcube Webmail before 1.5.10 and 1.6.x before 1.6.11 allows remote code execution by authenticated users because the _from parameter in a URL is not validated in program/actions/settings/upload.php, leading to PHP Object Deserialization.
CVE更新日: 2025-06-02 05:15:53.420000
CVSSバージョン: 3.1
CVSSスコア: 9.9
KEVの情報
KEV更新日: 2026-02-20
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.903610000
EPSS更新日: 2026-03-01 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE-2025-49113 は Roundcube Webmail に存在する認証後リモートコード実行(RCE)脆弱性。_from パラメータ未検証により PHP オブジェクトデシリアライゼーションが発生し、認証済みユーザーが任意コードを実行できる。10 年以上見逃されていた重大欠陥で、CVSS 9.9(Critical)。 【1. 脆弱性の概要】 - program/actions/settings/upload.php の _from パラメータが未検証。 - PHP オブジェクトデシリアライゼーションにより任意コード実行。 - 認証済みユーザー(PR:L)が攻撃可能。 【2. 深刻度】 - CVSS 3.1:9.9(Critical) - ベクタ:AV:N / AC:L / PR:L / UI:N / S:C / C:H / I:H / A:H 【3. 影響範囲】 - Roundcube 1.1.0〜1.6.10 - 1.5.10 未満および 1.6.x < 1.6.11 - cPanel / Plesk / ISPConfig / DirectAdmin など 5,300 万超のホストが影響 【4. 兆候】 - 不審な PHP プロセス生成 - メールデータの不正アクセス - 設定ファイル改ざん - upload.php への異常な POST 【5. 推奨対策】 - Roundcube を 1.6.11 / 1.5.10 以降へ更新 - ホスティング環境も最新版へ更新 - WAF による _from パラメータのフィルタ - ログ監査と MFA 強制