Duyurular

Merhabalar,

Roundcube Webmail'in 1.5.10 öncesi ve 1.6.11 öncesinde kritik bir açık tespit edilmiştir.

CVE-2025-49113 kodlu açık, uzaktan yetkisiz kod çalıştırılması için kullanılabilmektedir.

URL: https://nvd.nist.gov/vuln/detail/CVE-2025-49113

Kontrol paneli kullanan sunucularınızda panelinizi ve Roundcube'u ivedi olarak güncellemeniz gerekmektedir.

Eğer güncelleme gerçekleştiremeyecek bir yapıda iseniz, roundcube webmail dosyalarının bulunduğu dizinde;

../program/actions/settings/upload.php

Dosyasını düzenlemeniz gerekmektedir.

upload.php dosyası içerisindeki;

$from   = rcube_utils::get_input_value('_from', rcube_utils::INPUT_GET);

Satırını

$from = rcube_utils::get_input_value('_from', rcube_utils::INPUT_GET);
        if (!preg_match('/^[a-zA-Z0-9_-]+$/', $from)) {
            header('HTTP/1.1 400 Bad Request');
            exit('Invalid _from parameter');
        }

Olarak düzenlemeniz açığın kullanımını engelleyecek ufak bir yama olarak kullanılabilir.

İvedi olarak Roundcube Webmail kullanan sunucularınızda Roundcube'u 1.6.11 sürümüne yükseltmeniz ya da upload.php dosyasını tespit edip belirtilen düzenlemeyi gerçekleştirmeniz gerekmektedir.

NOT: Roundcube sürümünü Webmail üzerinde "Hakkında / About" alanından gözlemleyebilirsiniz.

NOT: Açık Roundcube 1.4.x sürümlerinde mevcut değildir, ancak farklı güvenlik problemleri olabilmesi sebebi ile 1.4.x sürümlerinin 1.5.10 ya da 1.6.11 üzerine yükseltilmesi önerilir.

İyi çalışmalar dileriz.