当前位置: 首页 > news >正文

【CVE-2025-49113】(内附EXP) 通过 PHP 对象反序列化在 Roundcube 中执行身份验证后远程代码

news 2025/8/28 6:50:44

概述

在 Roundcube Webmail(版本 < 1.5.101.6.0–1.6.10)中发现了一个严重漏洞 ,该漏洞允许经过身份验证的用户 通过 php 对象反序列化缺陷执行远程代码执行 ,该缺陷是由 program/actions/settings/upload.php 中的 _from 参数验证不当触发的。 该缺陷的 CVSS 3.1 得分为 9.9(严重)

  • CVE 编号 :CVE-2025-49113
  • 严重性 :严重
  • CVSS 评分 :9.9 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)
  • 发布时间:2025 年 6 月 1 日
  • 受影响的版本 :1.5.10、1.6.11 之前的所有版本
  • 修补版本 :1.5.10、1.6.11

形成原因

Roundcube 团队在 Roundcube 版本 1.6.11 中引入了一个补丁 。

https://github.com/roundcube/roundcubemail

http://www.dtcms.com/a/353244.html

相关文章:

  • MongoDB Shell
  • 解决.env.production 写死 IP 的问题:Vue + config.json 运行时加载方案
  • vsCode如何自定义编辑器背景色
  • 元宇宙与医疗健康:重构诊疗体验与健康管理模式
  • 硬件开发_基于物联网的儿童座椅系统
  • Milvus + Reranker 混合搜索技术方案详细文档
  • 低空无人机系统关键技术与应用前景:SmartMediaKit视频链路的基石价值
  • SyncBackPro 备份及同步软件中的脚本功能简介
  • 直播预告|鸿蒙原生开发与智能工具实战
  • 【译】模型上下文协议(MCP)现已在 Visual Studio 中正式发布
  • ERP如何帮助工业制造行业实现多厂调配
  • 第38次CCF-CSP认证——月票发行(chatgpt5 vs deepseekv3.1)
  • GitHub 宕机自救指南:应急预案与替代平台
  • 锐捷交换机:IF-MIB::ifName 的oid是多少
  • Python包发布与分发策略:从开发到生产的最佳实践(续)
  • 项目:烟雾报警器
  • 高并发内存池(10)-PageCache获取Span(中)
  • 【LeetCode每日一题】48. 旋转图像 240. 搜索二维矩阵 II
  • C/C++ 数据结构 —— 线索二叉树
  • 《联盟》书籍解读总结
  • 基于NXP iMXRT600音频算法开发方法
  • sql mvcc机制
  • PyTorch中的激活函数
  • html pc和移动端共用一个页面,移动端通过缩放达到适配页面,滚动飘窗
  • 实现自己的AI视频监控系统-第二章-AI分析模块3(核心)
  • ffmpeg+opencv交叉编译
  • Office 2024 长期支持版(Mac中文)Word、Execl、PPT
  • 使用Java操作微软 Azure Blob Storage:上传和下载文件
  • AR眼镜 + 视觉大模型在工业巡检的核心应用场景
  • AI赋能前端性能优化:核心技术与实战策略