-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.02 #############################
Titel : Kwetsbaarheid verholpen in Roundcube Webmail
Advisory ID : NCSC-2025-0181
Versie : 1.02
Kans : high
CVE ID : CVE-2025-49113
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Deserialization of Untrusted Data
Uitgiftedatum : 20250605
Toepassing : RoundCube Webmail
Versie(s) :
Platform(s) :
Update
In het beveiligingsadvies stond dat de kwetsbaarheid kan worden
misbruikt door een malafide e-mail naar het slachtoffer te sturen.
Dit is echter onjuist. De kwetsbaarheid kan, voor zover bekend, niet
via een malafide e-mail worden misbruikt. Het beveiligingsadvies is
hierop bijgewerkt en dit deel is gecorrigeerd.
Beschrijving
Roundcube heeft een kwetsbaarheid verholpen in Roundcube Webmail
(specifiek versies vóór 1.5.10 en 1.6.x vóór 1.6.11).
Een geauthenticeerde kwaadwillende kan de kwetsbaarheid misbruiken
voor het uitvoeren van willekeurige code. Hiertoe dient de
kwaadwillende een malafide HTTP-request naar de Roundcube-applicatie
te versturen. De kwetsbaarheid wordt veroorzaakt door inadequate
validatie van userinput in de _from-parameter.
Het NCSC heeft signalen ontvangen dat exploitcode in omloop is
waarmee de kwetsbaarheid kan worden misbruikt. Dit verhoogt het
risico op misbruik aanzienlijk.
Mogelijke oplossingen
Roundcube heeft updates uitgebracht om de kwetsbaarheid te verhelpen.
Het NCSC adviseert organisaties met klem om de door Roundcube
beschikbaar gestelde beveiligingsupdates te installeren. Zie
bijgevoegde referenties voor meer informatie.
Referenties:
Reference - certbundde; cveprojectv5; nvd
https://roundcube.net/news/2025/06/01/security-
updates-1.6.11-and-1.5.10
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=/eu0
-----END PGP SIGNATURE-----
