更新時間:2026/02/25 13:58:15
發佈時間:2026/02/25 13:58:15
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1][2][3]
Roundcube Webmail存在多項重大及高風險漏洞,說明如下:
1. CVE-2025-49113:該漏洞存在於program/actions/settings/upload.php檔案中,因系統未對URL參數_from進行適當驗證,使經身分驗證的攻擊者得以觸發PHP物件反序列化(PHP Object Deserialization),進而遠端執行任意程式碼。
2. CVE-2025-68460:該漏洞存在於HTML樣式過濾機制中,因系統未對特定style屬性進行適當編碼處理,使未經身分驗證的攻擊者得以透過特製輸入繞過防護機制,進而注入惡意樣式或內容,並可能導致Webmail介面敏感資訊外洩風險。
3. CVE-2025-68461:為一項跨網站指令碼(XSS)漏洞,因系統於處理SVG檔案的animate標籤時未適當過濾輸入內容,使攻擊者得以透過植入惡意指令碼至SVG檔案,再利用釣魚郵件等誘使使用者檢視,以執行任意JavaScript程式碼。
二、已揭露攻擊活動/漏洞偵測掃描說明
1. CISA已將CVE-2025-49113、CVE-2025-68461納入漏洞利用清單。[4]
2. GitHub已有CVE-2025-49113的PoC程式碼。[5]
▶ 漏洞資訊
⌵
名稱:
CVE-2025-49113、CVE-2025-68460、CVE-2025-68461
描述:
使用版本:CVSS 3.1
分析分數:9.9、7.2、7.2
參考來源: MITRE CNA
▶ 影響平台
⌵
影響平台-系統:
1. CVE-2025-49113:Roundcube Webmail低於1.5.10(不含)版本及1.6.0至1.6.10版本受影響,建議升級至1.5.10或1.6.11以上版本。
2. CVE-2025-68460、CVE-2025-68461:Roundcube Webmail低於1.5.12(不含)版本及1.6.0至1.6.11版本受影響,建議升級至1.5.12或1.6.12以上版本。
3. 為修補前述漏洞,建議優先升級至1.5.12或1.6.12或以上版本。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://nvd.nist.gov/vuln/detail/CVE-2025-49113 | NVD(CVE-2025-49113) |
| 2 | https://nvd.nist.gov/vuln/detail/CVE-2025-68460 | NVD(CVE-2025-68460) |
| 3 | https://nvd.nist.gov/vuln/detail/CVE-2025-68461 | NVD(CVE-2025-68461) |
| 4 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
| 5 | https://github.com/hakaioffsec/CVE-2025-49113-exploit | GitHub |
情資編號:
FISAC-200-202602-0011
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞