Vulnerable

84,000以上のRoundcubeウェブメールが、CVE-2025-49113の脆弱性を受けており、この脆弱性を悪用したリモートコード実行(RCE)が公開されています。

この欠陥は、10年以上にわたるRoundcubeのバージョン1.1.0から1.6.10に影響を及ぼすもので、セキュリティ研究者のKirill Firsov氏による発見と報告を受けて、2025年6月1日にパッチが適用されました。

このバグは$_GET[‘_from’]の入力が未サニタイズであることに起因しており、セッションキーが感嘆符で始まる場合にPHPオブジェクトのデシリアライズとセッションの破壊を可能にしていました。

このパッチがリリースされた直後、ハッカーたちはこのバグをリバースエンジニアリングし、動作するエクスプロイトを開発し、アンダーグラウンドのフォーラムで販売しました。

CVE-2025-49113の悪用には認証が必要だが、攻撃者は、CSRF、ログスクレイピング、またはブルートフォースによって有効な認証情報を取得できると主張している。

Firsov氏は、発生する可能性が非常に高い積極的な悪用の試みから身を守るために、自身のブログでこの欠陥に関する技術的な詳細を共有している。

大規模な暴露

Roundcubeは、共有ホスティング(GoDaddy、Hostinger、OVH)、政府、教育、ハイテク分野で広く利用されており、オンライン上で1,200,000以上のインスタンスが確認されている。

脅威監視プラットフォームThe Shadowserver Foundationの報告によると、同社のインターネットスキャンにより、2025年6月8日現在、CVE-2025-49113に脆弱なRoundcubeインスタンスが84,925件検出されている。

これらのインスタンスの多くは、米国(19,500)、インド(15,500)、ドイツ(13,600)、フランス(3,600)、カナダ(3,500)、英国(2,400)に存在します。

Heatmap of exposure to CVE-2025-49113
CVE-2025-49113 への暴露のヒートマップ
出典:The Shadowserver Foundation:シャドウサーバー財団

悪用のリスクの高さとデータ盗難の可能性を考慮すると、これらのインスタンスの露出は重大なサイバーセキュリティリスクである。

システム管理者は、CVE-2025-49113に対応したバージョン1.6.11および1.5.10に早急にアップデートすることが推奨される。

この欠陥が実際の攻撃に利用されているかどうか、またその規模は不明だが、それでも早急な対応が推奨される。

アップグレードが不可能な場合は、ウェブメールへのアクセスを制限し、ファイルアップロードをオフにし、CSRF保護を追加し、危険なPHP関数をブロックし、エクスプロイトの指標を監視することが推奨される。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .


Tines Needle

ITチームが手作業によるパッチ管理をやめる理由

かつてはパッチ適用といえば、複雑なスクリプト、長時間の作業、終わりのない消火訓練が必要でした。今は違います。

この新しいガイドでは、Tines氏が最新のIT組織が自動化によってどのようにレベルアップしているかを解説している。複雑なスクリプトは必要ありません。