【漏洞通报】反序列化代码执行漏洞

漏洞情况

近期，火山信安实验室监测到在Roundcube Webmail 中 upload.php 文件的一个反序列化代码执行漏洞。该漏洞序号为CVE-2025-49113属于高危漏洞。

CVE-2025-49113 是 Roundcube Webmail 中 upload.php 文件的一个反序列化代码执行漏洞。该漏洞源于对用户输入的 _from 参数未进行严格校验，导致攻击者可以通过构造恶意序列化数据触发反序列化操作，进而执行任意代码，从而可能完全控制受影响的 Roundcube 实例。

0x01漏洞利用方式

攻击者通过构造恶意输入修改HTTP请求中的 _from 参数，插入恶意序列化数据。当 Roundcube 处理该请求时，upload.php 会对 _from 参数进行反序列化操作，导致恶意代码被执行。攻击者可以利用反序列化漏洞执行系统命令、读取敏感文件或进行其他恶意操作。

0x02影响范围

• 在1.5.10 之前和 低于1.6.11的1.6.x版本中

0x03修复方案

1. 升级到安全版本：及时更新 Roundcube Webmail 到官方发布的修复版本（假设为 v1.6.1 或更高版本）
2. 输入验证与转义：对 _from 参数进行严格校验，避免直接反序列化用户输入。
3. 使用安全序列化库：改用更安全的序列化/反序列化库，避免 PHP 原生反序列化的风险。
4. 最小权限原则：限制 Roundcube 运行账户的权限，避免攻击者获取高权限。