DUBAI / LONDON (IT BOLTWISE) – Eine kürzlich entdeckte Sicherheitslücke in der Roundcube Webmail-Software, die über ein Jahrzehnt unentdeckt blieb, könnte von Angreifern ausgenutzt werden, um Systeme zu übernehmen und beliebigen Code auszuführen.
Die Sicherheitslücke, die als CVE-2025-49113 verfolgt wird, hat einen CVSS-Score von 9,9 von 10,0 und wird als Fall von post-authentifizierter Remote-Code-Ausführung über PHP-Objekt-Deserialisierung beschrieben. Diese Schwachstelle betrifft alle Versionen der Software vor und einschließlich 1.6.10 und wurde in den Versionen 1.6.11 und 1.5.10 LTS behoben.
Kirill Firsov, Gründer und CEO von FearsOff, wird die Entdeckung und Meldung der Schwachstelle zugeschrieben. Das in Dubai ansässige Cybersicherheitsunternehmen hat in einer kurzen Mitteilung angekündigt, dass es bald zusätzliche technische Details und einen Proof-of-Concept (PoC) veröffentlichen wird, um den Nutzern genügend Zeit zu geben, die notwendigen Patches anzuwenden.
Frühere Sicherheitslücken in Roundcube waren ein lukratives Ziel für staatlich geförderte Bedrohungsakteure wie APT28 und Winter Vivern. Im vergangenen Jahr enthüllte Positive Technologies, dass unbekannte Hacker versuchten, eine Roundcube-Schwachstelle (CVE-2024-37383) im Rahmen eines Phishing-Angriffs auszunutzen, der darauf abzielte, Benutzeranmeldeinformationen zu stehlen.
Vor einigen Wochen stellte ESET fest, dass APT28 Cross-Site-Scripting (XSS)-Schwachstellen in verschiedenen Webmail-Servern wie Roundcube, Horde, MDaemon und Zimbra genutzt hatte, um vertrauliche Daten von bestimmten E-Mail-Konten zu ernten, die zu Regierungsstellen und Verteidigungsunternehmen in Osteuropa gehörten.
Die Entdeckung dieser Schwachstelle wirft Fragen zur Sicherheit von Webmail-Systemen auf, insbesondere in einer Zeit, in der Cyberangriffe immer raffinierter werden. Die Möglichkeit, dass authentifizierte Benutzer durch eine unzureichend validierte URL-Parameterprüfung in der Lage sind, schädlichen Code auszuführen, zeigt die Notwendigkeit verstärkter Sicherheitsmaßnahmen.
Die Reaktion der Branche auf diese Entdeckung wird entscheidend sein, um zukünftige Angriffe zu verhindern. Unternehmen, die Roundcube verwenden, sollten dringend die neuesten Sicherheitsupdates implementieren, um ihre Systeme zu schützen. Die Veröffentlichung eines Proof-of-Concepts durch FearsOff könnte als Weckruf für andere Softwareanbieter dienen, ihre eigenen Systeme auf ähnliche Schwachstellen zu überprüfen.
Insgesamt verdeutlicht dieser Vorfall die anhaltende Herausforderung, die Sicherheit von Webanwendungen zu gewährleisten, und unterstreicht die Bedeutung proaktiver Sicherheitsstrategien in der heutigen digitalen Landschaft.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Responsible AI Consultant (f/m/x)
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
Bachelorand (d/m/w) im Bereich Künstliche Intelligenz im Produktmarketing
Abschlussarbeit zum Thema Generative KI und Datenmanagement in der Fabrikplanung (m/w/d)
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Kritische Sicherheitslücke in Roundcube Webmail entdeckt" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Kritische Sicherheitslücke in Roundcube Webmail entdeckt" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Kritische Sicherheitslücke in Roundcube Webmail entdeckt« bei Google Deutschland suchen, bei Bing oder Google News!