【安全资讯】Roundcube Webmail存在反序列化漏洞（CVE-2025-49113）

近日，安恒信息CERT监测到Roundcube Webmail存在PHP对象反序列化漏洞（CVE-2025-49113），由于program/actions/settings/upload.php文件中未对URL中的_from参数进行验证，导致PHP对象反序列化漏洞，从而允许经过身份验证的用户执行远程代码。

影响版本：

Roundcube Webmail <1.5.10

1.6.0<= Roundcube Webmail <1.6.11

安全版本：

Roundcube Webmail >= 1.5.10

Roundcube Webmail >=1.6.11

官方修复方案:

官方已发布修复方案，受影响的用户建议及时更新至对应安全版本。

Roundcube 1.5.x:

https://github.com/roundcube/roundcubemail/releases/tag/1.5.10

Roundcube 1.6.x:

https://github.com/roundcube/roundcubemail/releases/tag/1.6.11